近200家網上商城被曝資訊洩露 “剁手黨”中招了嗎?
- 發佈時間:2015-12-15 17:24:28 來源:新華網 責任編輯:羅伯特
新華網北京12月15日新媒體專電(記者陽娜 盧國強)剛剛過完的“雙十二”成為繼“雙十一”之後的“網購小盛宴”,讓“剁手黨”們再次興奮不已。然而,近日360“補天”漏洞響應平臺曝出近200家網上商城存在資訊漏洞,隨之而來的是網上詐騙、騷擾電話、惡意郵件等惡劣行為,不僅煩擾人們的日常生活,更威脅著財産安全。記者採訪了解到,不少消費者紛紛中招。
網上商城成資訊洩露“重災區”
據360“補天”漏洞響應平臺披露,“雙十二”期間不少網上商城、賣家網站存在安全漏洞且因遭到駭客攻擊而導致資訊洩露。
實際上,存在漏洞的網站平臺並非僅在“雙十二”被暴露的數家網站。據“補天”漏洞響應平臺統計分析,今年年初至今,已有近200家網上商城或平臺被曝出存在安全漏洞而導致數據庫資訊被竊取,其中多家網站洩露的用戶資訊達到數百萬條,最多的甚至達到上千萬條。
網上商城用戶資訊與其他類型網站不同。由於購物需要,用戶必須在網站預留姓名、手機號碼、地址等多個真實資訊,甚至涉及銀行卡、身份證等敏感資訊,這些資訊的洩露會直接導致消費者頻繁收到推銷廣告電話、短信或郵件的騷擾,更為嚴重的則是消費者較易遭到網購詐騙。
剛從海外回國的小龍近期在北京辦了新號碼,還沒有用幾天,知道她手機號的人也不多,只是在網上買過幾次東西時註冊過號碼資訊,最近總是收到莫名其妙的服務短信和推銷廣告,遮罩一個號碼又有其他號碼發過來;在北京工作的小鐘也遇到過類似煩惱,她告訴記者,“在幾個護膚品官方微信用手機號註冊會員後,第二天就接到了美容院的電話。”
有過與小龍、小鐘類似經歷的人不在少數。然而,相比之下,網購詐騙造成的損失更大。
家住北京市朝陽區的李女士近日接到一個顯示為“京東客服”的電話,一名自稱是客服人員的男子告訴李女士,“京東”將他的購物資訊誤操作成分期付款了,稍後會有銀行的工作人員跟其聯繫。而在接到一個冒充招商銀行工作人員的電話後,李女士按照對方要求進行“驗證”操作,結果網上銀行被盜取了一萬多元。
資訊洩露難溯源成舉證大難題
在360“補天”漏洞響應平臺上,記者看到,遭到洩露的用戶資訊一覽無余,包括收貨人姓名、手機號、訂單號、收貨地址、發貨時間等所有精確資訊。
業內專家認為,正是由於對方掌握用戶的真實、全面的個人資訊,甚至包括訂單等所有購物記錄,更有利於其“有的放矢”,且詐騙的成功率很高。
360安全專家鮑宇指出,在雙十一、雙十二、節慶日等電商促銷季,由於消費者集中多次購買商品,這些時期也成為駭客集中攻擊網上商城、竊取資訊以及有針對性地實施詐騙的高峰期。
鮑宇指出,弱密碼漏洞、注入漏洞和越權漏洞等這三種漏洞較為普遍,駭客可以通過匹配密碼、修改網站ID號、構造惡意命令等方式輕易獲取網上個人資訊。而且,只需要在網上下載一些工具就可以直接用來製造這些漏洞。此外,由於微店、O2O平臺、APP等網購模式的興起,安全漏洞也同時存在於這些平臺。
盤古團隊安全專家小G等多位業內人士表示,網路購物過程中多個環節都可能造成資訊洩露,包括賣家、平臺、快遞公司等,而資訊溯源也成為很大的難題。其中,中小型電商平臺和賣家成為資訊洩露的“重災區”,主要因為其自身缺乏安全建設的能力和技術且由於洩露的資訊涉及用戶而非賣家平臺本身,因此其修復漏洞的積極性很低,用戶資訊安全存在很大風險。
此外,中國網際網路協會信用評價中心法律顧問趙佔領則指出,在處理資訊洩露時間的實踐過程中最大的困難是舉證,網購涉及的環節和主體多,很難證明用戶遭受的損失與某網站資訊洩露直接相關。
多方主體各盡其責 最大限度降低安全風險
業內專家建議從企業、消費者、行政監管等多層面儘量降低資訊洩露的風險和危害。
趙佔領表示,根據相關法律法規,網路資訊服務商收集用戶資訊必須遵循正當、合法、必要的原則,此後的使用和保管必須盡到安全保護義務,保障用戶數據更新安全。如其主動洩露則涉及刑事犯罪,而對於因管理或技術漏洞導致的資訊洩露,網站則需要向用戶承擔違約賠償責任。
“另一方面,目前行政監管缺位,監管主體不明確,導致網站因資訊洩露而遭到行政處罰的案例實際很少。要對用戶維權提供更多的法律支援,比如由網路服務提供者承擔舉證責任,如若不能提供則要負相關法律責任。”趙佔領説。
警方則提示,消費者要按照正規購物網站的流程,不要輕信陌生來電或網站連結,且不輕易洩露驗證碼等資訊。
安全專家余弦、鮑宇等多位人士指出,網站或平臺應增強自身網路安全的意識和能力,不具備相關能力和技術的企業可與第三方平臺合作。而消費者應選擇較大的平臺進行購物,不要在過多的網路平臺註冊或購物,在網購填寫訂單時應儘量避免預留真實完整的資訊,如使用昵稱、阿裏小號、代收點地址等。