1400萬快遞用戶隱私裸奔:如何為大數(shù)據(jù)加密?

  本報記者 滑明飛 上海報道

  1400萬用戶信息被竊取和售賣,在從業(yè)人員看來竟然“不是新聞”。

  “在快遞行業(yè),這種事情已經(jīng)持續(xù)了好多年了,無法根治!8月15日,李康神情淡然地對記者表示。李之前經(jīng)營了一家區(qū)域性的快遞公司,曾與申通等獨立快遞公司和電商網(wǎng)站均有合作。在他看來,用戶信息被泄露不足為怪。

  快遞公司擁有的用戶信息包括收貨和發(fā)貨雙方的姓名、地址、手機號碼以及快遞物品。李康表示,這些信息一般分兩種形態(tài)存在,一種是保存在快遞公司的服務(wù)器中,另一種就是面單(快遞單)。

  “無論哪一種方式,都容易被泄露!崩羁嫡f。

  快遞業(yè)數(shù)據(jù)亂象

  電商的發(fā)展帶來快遞行業(yè)的突飛猛進,也使得快遞公司成為繼互聯(lián)網(wǎng)巨頭之后擁有用戶個人真實信息數(shù)量最多的角色之一。目前,順豐已經(jīng)開始利用大數(shù)據(jù)布局O2O業(yè)務(wù),即通過對某個區(qū)域的訂單結(jié)構(gòu)分析,針對性建店(嘿客)和上架商品。

  大數(shù)據(jù)概念方興未艾,用戶的姓名、手機號碼、地址等成為大數(shù)據(jù)的最基礎(chǔ)組成部分。而隨著電商、互聯(lián)網(wǎng)金融的發(fā)展,企業(yè)在收集這些用戶信息時更加快捷、全面,并對這些數(shù)據(jù)進行存儲和分析,從而實現(xiàn)商業(yè)目的。但數(shù)據(jù)安全卻常常成為部分企業(yè)忽視的一環(huán)。

  李康表示,大數(shù)據(jù)是把雙刃劍,用好了可以提高效率,被不法分子利用了,后果則不堪設(shè)想,而在目前國內(nèi)的快遞行業(yè)中,數(shù)據(jù)安全受到的重視并不足夠。

  據(jù)李康介紹,除了申通、中通、圓通、匯通、韻達(以下簡稱“四通一達”)和順豐外,各區(qū)域還分散著數(shù)萬家大大小小的快遞公司,并且管理極不規(guī)范,而用戶信息正是在這張漏洞百出的網(wǎng)絡(luò)中“裸奔”。

  李康曾經(jīng)以100多萬元買斷申通某個區(qū)域的加盟權(quán),負責該區(qū)域的申通發(fā)單和收單業(yè)務(wù)。配送訂單時,申通的用戶信息會明文同步至李康公司的電腦上,并且這部分數(shù)據(jù)可以長時間存儲。另一方面,訂單配送完返回的面單(顯示用戶信息)也集中在加盟公司中。他稱,和電商網(wǎng)站的合作,也是類似的模式,電商的數(shù)據(jù)和快遞公司共享。

  李康表示,一些大型快遞公司都有規(guī)定,面單要定時集中銷毀,電腦中的數(shù)據(jù)也要定時清理,但在實際操作中,這些規(guī)定很難有約束力。比如說,這些數(shù)據(jù)就存在一臺電腦的硬盤里,一個快遞員就可以隨時調(diào)取;面單處理更是一個問題,每年數(shù)萬份紙質(zhì)面單,存放也是一個問題,有的賣了廢品,有的則直接賣給“客戶”。

  有的公司也會要求安裝防火墻,甚至上線安全系統(tǒng),但對于快遞公司而言,這是很大的成本。由于目前行業(yè)平均利潤率只有10%左右,各個快遞公司也只是象征性地購買一些便宜的防火墻軟件,至于互聯(lián)網(wǎng)公司常用的加密技術(shù),大部分快遞公司更不會考慮。

   奇虎360 網(wǎng)站安全總監(jiān)趙武在接受21世紀經(jīng)濟報道采訪時也表示,快遞行業(yè)數(shù)據(jù)安全防護水平普遍較差,體現(xiàn)在網(wǎng)站漏洞多、修復不及時、運維人員安全意識薄弱(使用弱口令)等方面。

  而造成這種問題的主要原因是,絕大多數(shù)快遞公司沒有專業(yè)安全運維團隊,甚至沒有對網(wǎng)站做基本的安全防護,有的快遞公司網(wǎng)站干脆委托給外包公司運營。

  趙武舉例說,這使得網(wǎng)站漏洞長期得不到修復,例如安全公司多次預警的Struts2代碼執(zhí)行等高危漏洞,仍有快遞公司網(wǎng)站沒有進行修復。此外,弱口令問題在快遞行業(yè)也非常突出,在近日曝光的快遞業(yè)數(shù)據(jù)泄露事件中,犯罪嫌疑人就是利用弱口令進入快遞公司網(wǎng)站服務(wù)器的管理后臺,從而竊取了用戶數(shù)據(jù)庫。

  落后的安全技術(shù)配置,以及不規(guī)范的管理制度,使得快遞行業(yè)成為近幾年用戶信息泄露的重災(zāi)區(qū),線上極容易被黑客攻破。今年3月份,杭州一名大學

  生僅僅是在做網(wǎng)絡(luò)安全測試時,即攻破了一家快遞公司的網(wǎng)站。

  李康表示,數(shù)據(jù)買家一般是一些網(wǎng)店店主,也有部分做零售的大企業(yè),他們拿到這部分數(shù)據(jù)后主要用于營銷。對于買家而言,兩三角錢一份面單的價格可以接受,快遞公司也順便“廢物”利用,增加收入。

  “大數(shù)據(jù)”之憂

  趙武對記者表示,根據(jù)360網(wǎng)站安全檢測平臺的統(tǒng)計,除了快遞行業(yè),國內(nèi)醫(yī)療衛(wèi)生、教育培訓、旅游酒店、生活房產(chǎn)、人才招聘等行業(yè)的網(wǎng)絡(luò)安全問題也尤其嚴重,這些行業(yè)網(wǎng)站存在漏洞和被植入后門的比例都相對較高,而且也是黑客重點攻擊的目標。

  由于上述行業(yè)的用戶數(shù)據(jù)涉及大量個人隱私信息,例如健康狀況、個人簡歷、聯(lián)絡(luò)信息、出行記錄等,一旦被黑客攻擊,數(shù)據(jù)泄露的危害完全不亞于快遞數(shù)據(jù)泄露事件,而此前曝光的2000萬條酒店開房記錄已經(jīng)敲響了警鐘。就在不久前,某市醫(yī)療保健網(wǎng)站被白帽子發(fā)現(xiàn)高危漏洞,涉及150萬孕產(chǎn)婦的信息在網(wǎng)上裸奔,此類數(shù)據(jù)都可能隨時被黑客竊取。

  一邊是數(shù)據(jù)的不斷集中,大數(shù)據(jù)應(yīng)用逐步落地;一邊則是越來越多的數(shù)據(jù)泄露案件。來誼金融科技CTO侯煜東接受21世紀經(jīng)濟報道記者采訪時表示,主要還是從技術(shù)和管理制度兩方面進行預防。

  侯煜東表示,目前數(shù)據(jù)可以簡單分為金融數(shù)據(jù)、隱私數(shù)據(jù)和商業(yè)數(shù)據(jù),一般金融數(shù)據(jù)的安全問題比較受關(guān)注,比如銀行和第三方支付公司,近兩年都在技術(shù)和管理制度方面比較成熟;而隱私數(shù)據(jù)因為沒有直接涉及到用戶的資產(chǎn)安全,因此關(guān)注度較低;商業(yè)數(shù)據(jù)則多針對B端,行業(yè)內(nèi)人比較關(guān)注。

  來誼金融科技高龍飛表示,對于隱私數(shù)據(jù)而言,目前國內(nèi)還未有典型案例。用戶通過各種賬號登錄互聯(lián)網(wǎng),有多個環(huán)節(jié)會留下痕跡。首先通過瀏覽器登錄時,緩存如果沒有及時清除,黑客很容易便可攻破而獲取數(shù)據(jù);然后數(shù)據(jù)傳輸時,如果不加密,信息同樣會被攔截;最后一步存儲,很多企業(yè)均是明文(不加密)存儲,只要黑客攻破,很容易獲取數(shù)據(jù)。另一方面,即使加密存儲,黑客一旦獲取權(quán)限人的信息,同樣可以獲取數(shù)據(jù)。

  高龍飛稱,目前國內(nèi)的大部分企業(yè)依然是傳統(tǒng)的安全管理辦法,技術(shù)上通過防火墻、加密等技術(shù)預防,同時以金字塔結(jié)構(gòu)設(shè)置權(quán)限,通過管理制度進行防范,并且在網(wǎng)絡(luò)環(huán)境和物理環(huán)境上都對大數(shù)據(jù)業(yè)務(wù)進行隔離。

  便捷性和安全性這對矛盾會一直持續(xù)下去。但在某些信息方面,的確已經(jīng)有相關(guān)規(guī)定,禁止網(wǎng)站記錄用戶信息。高龍飛舉例說,銀聯(lián)對于信用卡的網(wǎng)絡(luò)支付有規(guī)定,網(wǎng)站禁止記錄用戶的信用卡密碼、有效期和CVV碼(信用卡驗證碼)。但這種禁止記錄的做法是否能推廣至整個行業(yè)很難說,比如在電商領(lǐng)域,禁止平臺方記錄用戶的消費軌跡,必然會引起平臺方的反彈。

  (文中李康為化名)(編輯 盧愛芳 施建)


掃碼關(guān)注5G通信官方公眾號,免費領(lǐng)取以下5G精品資料
  • 1、回復“YD5GAI”免費領(lǐng)取《中國移動:5G網(wǎng)絡(luò)AI應(yīng)用典型場景技術(shù)解決方案白皮書
  • 2、回復“5G6G”免費領(lǐng)取《5G_6G毫米波測試技術(shù)白皮書-2022_03-21
  • 3、回復“YD6G”免費領(lǐng)取《中國移動:6G至簡無線接入網(wǎng)白皮書
  • 4、回復“LTBPS”免費領(lǐng)取《《中國聯(lián)通5G終端白皮書》
  • 5、回復“ZGDX”免費領(lǐng)取《中國電信5GNTN技術(shù)白皮書
  • 6、回復“TXSB”免費領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復“YDSL”免費領(lǐng)取《中國移動算力并網(wǎng)白皮書
  • 8、回復“5GX3”免費領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
  • 本周熱點本月熱點

     

      最熱通信招聘

    業(yè)界最新資訊


      最新招聘信息