有“漏洞”平臺更易被“撞庫”
“説白了,撞庫攻擊就是不斷地嘗試錯誤的密碼。”張百川表示,“對於大型平臺來説,往往可以利用技術手段限制這一‘撞庫攻擊’。比如登錄錯誤幾次後直接封掉登錄者的IP地址,一個賬戶一天之內只允許輸入三次,一個IP地址如果輸入了兩個賬戶或者輸錯了5次以上,24小時內就不允許再登錄等。”
在1號店網站上多次試驗登錄同一賬號,多次輸錯賬號密碼後,1號店要求輸入驗證碼,但除此之外並無其他防範手段。
以錯誤密碼登錄蘇寧易購,輸錯3次密碼後,蘇寧易購開啟了移動滑塊的防護措施,並在輸錯10次後鎖死了賬戶資訊,顯示只有1小時之後才可以再次嘗試。而在以錯誤密碼登錄小紅書的試驗時,小紅書方面表示需要以接收手機驗證碼的方式登錄。
“1號店的驗證碼模式並不算是防禦撞庫攻擊的有效方式,現在在網上搜索驗證碼識別、驗證碼繞過,可以得到相應的破解軟體。移動滑塊相應高端一些,但目前市場上也出現了破解移動滑塊的軟體。”張百川表示。而對於手機驗證碼,萬濤表示,現在有專門的打碼平臺可以幫忙快速破解驗證碼。
有業內人士稱,當盜號者取得了一家網站的數據並通過撞庫攻擊“撞出”其他網站的用戶名和密碼後,被“撞出”的用戶名和密碼也會成為新的“數據庫”再用以“撞”其他的網站。
“事實上,對撞庫攻擊進行防禦的成本並不高,但除支付寶等大型平臺外,小平臺對這一攻擊手段進行防範的驅動力不太大。”張百川直言。
對於因資訊洩露遭受詐騙而形成的損失,電商平臺應承擔怎樣的責任至今仍不明確。大部分電商平臺對於此類事件的回應一般為“配合警方調查”。1號店稱,需要對資訊洩露一事再核實。1號店的後臺安全系統會24小時不間斷監測顧客登錄和購物行為,一旦發現頻繁異常登錄等高風險情況,將採取鎖定賬戶等緊急手段,顧客需要修改密碼或通過身份驗證再次使用。如果顧客遭遇資訊洩露後的財産損失情況,將全力配合警方提供所需要的資訊。
蘇寧方面表示,蘇寧基於用戶資訊安全防範成立的安全團隊,以網路安全攻擊、Web安全攻擊的安全風險發現識別為基礎,可以通過可視化網路與Web攻擊事件,發現內部網路高級持續性威脅,挖掘與檢測針對蘇寧消費者與商家的釣魚網站,並予以及時處理。對於涉及消費者資訊安全問題,將第一時間核實處理,確保用戶購物支付環境的安全與穩定。
根據今年3月補天平臺發佈的《2016年網站洩露個人資訊形勢分析報告》,2016年有超過一半的網站漏洞會導致洩露實名資訊和行為資訊,分別佔58.5%和62.4%(某些漏洞可能同時洩露2類資訊),可能洩露的數量多達42.3億條和40.1億條。
電商平臺是否擔責?律師稱難判斷
“電商平臺在獲取個人資訊的同時,就有保護個人資訊的義務。”北京盈科律師事務所方超強律師表示,“資訊洩露存在不同的情況,如果電商平臺提供了符合其規模的保護措施,但在這種情況之下還是被駭客入侵了系統,這種情況屬於不可抗力,電商不用承擔責任,但如果最終發現因平臺存在漏洞而導致資訊洩露,那麼平臺就要負責。”
他進一步解釋稱,若盜號者是利用技術手段從電商平臺上盜取數據,獲得相關賬號密碼,則需要進一步考慮電商平臺在數據保密層面上技術保護水準是否足夠高,有無明顯漏洞;若一些初學者駭客也可以攻破平臺的安全保護措施,可以認為平臺沒有給予與其規模相匹配的保護,這樣的情況下可以認為平臺存在漏洞,需要承擔責任。
根據《網路交易管理辦法》第25條第二款規定:第三方交易平臺經營者應當採取必要的技術手段和管理措施保證平臺的正常運作,提供必要、可靠的交易環境和交易服務,維護網路交易秩序。
但方超強直言,在現實中很難有一個標準去判斷什麼叫做“平臺存在漏洞導致資訊洩露”,若消費者向法院投訴平臺,平臺只要舉證證明其盡到了安全責任保護義務,就很難對平臺進行追責。同時,對於消費者因為在不同電商平臺使用相同的賬號密碼,以致遭到“撞庫”盜號,所有賬號密碼一同被盜,造成自身重大損失,此類情形,應當由誰承擔責任要視賬號泄密的不同情況分而論之。
萬濤表示,實際上判斷電商安全等級的相關標準有很多,包括國家資訊安全等級保護制度和ISO27001資訊管理認證,這要看電商能拿到哪些安全標準認定。比如在國家資訊安全保護等級上,網約車必須拿到三級等級保護。但現在用戶的資訊洩露渠道實在太多,有大量的用戶隱私數據已經處於洩露狀態,以此判斷電商責任並不全面。
萬濤認為,核心問題是發生資訊洩露之後,往往很難判斷是哪一個環節出了問題,對責任的界定和處罰不明確,導致資訊洩露從取證到用戶的維權成本都過高。“電商有物流、第三方等多個環節,有很多訂單洩露與其內部數據的管理和安全手段能不能覆蓋到業務是有關聯的。”
“一般而言,賣家在電商平臺上出售商品,是要與平臺簽訂協議的,在註冊條款裏平臺需要盡到告知義務,即賣家不能買賣買家的個人資訊獲利,這種行為本身構成侵權,買賣達到一定數量也構成犯罪。但若平臺盡到了告知義務,是沒有責任的。”上海市百良律師事務所主任王冰説。
