1400萬(wàn)快遞用戶隱私裸奔：如何為大數(shù)據(jù)加密？

　　本報(bào)記者 滑明飛 上海報(bào)道

　　1400萬(wàn)用戶信息被竊取和售賣(mài)，在從業(yè)人員看來(lái)竟然“不是新聞”。

　　“在快遞行業(yè)，這種事情已經(jīng)持續(xù)了好多年了，無(wú)法根治�！�8月15日，李康神情淡然地對(duì)記者表示。李之前經(jīng)營(yíng)了一家區(qū)域性的快遞公司，曾與申通等獨(dú)立快遞公司和電商網(wǎng)站均有合作。在他看來(lái)，用戶信息被泄露不足為怪。

　　快遞公司擁有的用戶信息包括收貨和發(fā)貨雙方的姓名、地址、手機(jī)號(hào)碼以及快遞物品。李康表示，這些信息一般分兩種形態(tài)存在，一種是保存在快遞公司的服務(wù)器中，另一種就是面單(快遞單)。

　　“無(wú)論哪一種方式，都容易被泄露�！崩羁嫡f(shuō)。

　　快遞業(yè)數(shù)據(jù)亂象

　　電商的發(fā)展帶來(lái)快遞行業(yè)的突飛猛進(jìn)，也使得快遞公司成為繼互聯(lián)網(wǎng)巨頭之后擁有用戶個(gè)人真實(shí)信息數(shù)量最多的角色之一。目前，順豐已經(jīng)開(kāi)始利用大數(shù)據(jù)布局O2O業(yè)務(wù)，即通過(guò)對(duì)某個(gè)區(qū)域的訂單結(jié)構(gòu)分析，針對(duì)性建店(嘿客)和上架商品。

　　大數(shù)據(jù)概念方興未艾，用戶的姓名、手機(jī)號(hào)碼、地址等成為大數(shù)據(jù)的最基礎(chǔ)組成部分。而隨著電商、互聯(lián)網(wǎng)金融的發(fā)展，企業(yè)在收集這些用戶信息時(shí)更加快捷、全面，并對(duì)這些數(shù)據(jù)進(jìn)行存儲(chǔ)和分析，從而實(shí)現(xiàn)商業(yè)目的。但數(shù)據(jù)安全卻常常成為部分企業(yè)忽視的一環(huán)。

　　李康表示，大數(shù)據(jù)是把雙刃劍，用好了可以提高效率，被不法分子利用了，后果則不堪設(shè)想，而在目前國(guó)內(nèi)的快遞行業(yè)中，數(shù)據(jù)安全受到的重視并不足夠。

　　據(jù)李康介紹，除了申通、中通、圓通、匯通、韻達(dá)(以下簡(jiǎn)稱“四通一達(dá)”)和順豐外，各區(qū)域還分散著數(shù)萬(wàn)家大大小小的快遞公司，并且管理極不規(guī)范，而用戶信息正是在這張漏洞百出的網(wǎng)絡(luò)中“裸奔”。

　　李康曾經(jīng)以100多萬(wàn)元買(mǎi)斷申通某個(gè)區(qū)域的加盟權(quán)，負(fù)責(zé)該區(qū)域的申通發(fā)單和收單業(yè)務(wù)。配送訂單時(shí)，申通的用戶信息會(huì)明文同步至李康公司的電腦上，并且這部分?jǐn)?shù)據(jù)可以長(zhǎng)時(shí)間存儲(chǔ)。另一方面，訂單配送完返回的面單(顯示用戶信息)也集中在加盟公司中。他稱，和電商網(wǎng)站的合作，也是類(lèi)似的模式，電商的數(shù)據(jù)和快遞公司共享。

　　李康表示，一些大型快遞公司都有規(guī)定，面單要定時(shí)集中銷(xiāo)毀，電腦中的數(shù)據(jù)也要定時(shí)清理，但在實(shí)際操作中，這些規(guī)定很難有約束力。比如說(shuō)，這些數(shù)據(jù)就存在一臺(tái)電腦的硬盤(pán)里，一個(gè)快遞員就可以隨時(shí)調(diào)��；面單處理更是一個(gè)問(wèn)題，每年數(shù)萬(wàn)份紙質(zhì)面單，存放也是一個(gè)問(wèn)題，有的賣(mài)了廢品，有的則直接賣(mài)給“客戶”。

　　有的公司也會(huì)要求安裝防火墻，甚至上線安全系統(tǒng)，但對(duì)于快遞公司而言，這是很大的成本。由于目前行業(yè)平均利潤(rùn)率只有10%左右，各個(gè)快遞公司也只是象征性地購(gòu)買(mǎi)一些便宜的防火墻軟件，至于互聯(lián)網(wǎng)公司常用的加密技術(shù)，大部分快遞公司更不會(huì)考慮。

　　 奇虎360 網(wǎng)站安全總監(jiān)趙武在接受21世紀(jì)經(jīng)濟(jì)報(bào)道采訪時(shí)也表示，快遞行業(yè)數(shù)據(jù)安全防護(hù)水平普遍較差，體現(xiàn)在網(wǎng)站漏洞多、修復(fù)不及時(shí)、運(yùn)維人員安全意識(shí)薄弱(使用弱口令)等方面。

　　而造成這種問(wèn)題的主要原因是，絕大多數(shù)快遞公司沒(méi)有專業(yè)安全運(yùn)維團(tuán)隊(duì)，甚至沒(méi)有對(duì)網(wǎng)站做基本的安全防護(hù)，有的快遞公司網(wǎng)站干脆委托給外包公司運(yùn)營(yíng)。

　　趙武舉例說(shuō)，這使得網(wǎng)站漏洞長(zhǎng)期得不到修復(fù)，例如安全公司多次預(yù)警的Struts2代碼執(zhí)行等高危漏洞，仍有快遞公司網(wǎng)站沒(méi)有進(jìn)行修復(fù)。此外，弱口令問(wèn)題在快遞行業(yè)也非常突出，在近日曝光的快遞業(yè)數(shù)據(jù)泄露事件中，犯罪嫌疑人就是利用弱口令進(jìn)入快遞公司網(wǎng)站服務(wù)器的管理后臺(tái)，從而竊取了用戶數(shù)據(jù)庫(kù)。

　　落后的安全技術(shù)配置，以及不規(guī)范的管理制度，使得快遞行業(yè)成為近幾年用戶信息泄露的重災(zāi)區(qū)，線上極容易被黑客攻破。今年3月份，杭州一名大學(xué)

　　生僅僅是在做網(wǎng)絡(luò)安全測(cè)試時(shí)，即攻破了一家快遞公司的網(wǎng)站。

　　李康表示，數(shù)據(jù)買(mǎi)家一般是一些網(wǎng)店店主，也有部分做零售的大企業(yè)，他們拿到這部分?jǐn)?shù)據(jù)后主要用于營(yíng)銷(xiāo)。對(duì)于買(mǎi)家而言，兩三角錢(qián)一份面單的價(jià)格可以接受，快遞公司也順便“廢物”利用，增加收入。

　　“大數(shù)據(jù)”之憂

　　趙武對(duì)記者表示，根據(jù)360網(wǎng)站安全檢測(cè)平臺(tái)的統(tǒng)計(jì)，除了快遞行業(yè)，國(guó)內(nèi)醫(yī)療衛(wèi)生、教育培訓(xùn)、旅游酒店、生活房產(chǎn)、人才招聘等行業(yè)的網(wǎng)絡(luò)安全問(wèn)題也尤其嚴(yán)重，這些行業(yè)網(wǎng)站存在漏洞和被植入后門(mén)的比例都相對(duì)較高，而且也是黑客重點(diǎn)攻擊的目標(biāo)。

　　由于上述行業(yè)的用戶數(shù)據(jù)涉及大量個(gè)人隱私信息，例如健康狀況、個(gè)人簡(jiǎn)歷、聯(lián)絡(luò)信息、出行記錄等，一旦被黑客攻擊，數(shù)據(jù)泄露的危害完全不亞于快遞數(shù)據(jù)泄露事件，而此前曝光的2000萬(wàn)條酒店開(kāi)房記錄已經(jīng)敲響了警鐘。就在不久前，某市醫(yī)療保健網(wǎng)站被白帽子發(fā)現(xiàn)高危漏洞，涉及150萬(wàn)孕產(chǎn)婦的信息在網(wǎng)上裸奔，此類(lèi)數(shù)據(jù)都可能隨時(shí)被黑客竊取。

　　一邊是數(shù)據(jù)的不斷集中，大數(shù)據(jù)應(yīng)用逐步落地；一邊則是越來(lái)越多的數(shù)據(jù)泄露案件。來(lái)誼金融科技CTO侯煜東接受21世紀(jì)經(jīng)濟(jì)報(bào)道記者采訪時(shí)表示，主要還是從技術(shù)和管理制度兩方面進(jìn)行預(yù)防。

　　侯煜東表示，目前數(shù)據(jù)可以簡(jiǎn)單分為金融數(shù)據(jù)、隱私數(shù)據(jù)和商業(yè)數(shù)據(jù)，一般金融數(shù)據(jù)的安全問(wèn)題比較受關(guān)注，比如銀行和第三方支付公司，近兩年都在技術(shù)和管理制度方面比較成熟；而隱私數(shù)據(jù)因?yàn)闆](méi)有直接涉及到用戶的資產(chǎn)安全，因此關(guān)注度較低；商業(yè)數(shù)據(jù)則多針對(duì)B端，行業(yè)內(nèi)人比較關(guān)注。

　　來(lái)誼金融科技高龍飛表示，對(duì)于隱私數(shù)據(jù)而言，目前國(guó)內(nèi)還未有典型案例。用戶通過(guò)各種賬號(hào)登錄互聯(lián)網(wǎng)，有多個(gè)環(huán)節(jié)會(huì)留下痕跡。首先通過(guò)瀏覽器登錄時(shí)，緩存如果沒(méi)有及時(shí)清除，黑客很容易便可攻破而獲取數(shù)據(jù)；然后數(shù)據(jù)傳輸時(shí)，如果不加密，信息同樣會(huì)被攔截；最后一步存儲(chǔ)，很多企業(yè)均是明文(不加密)存儲(chǔ)，只要黑客攻破，很容易獲取數(shù)據(jù)。另一方面，即使加密存儲(chǔ)，黑客一旦獲取權(quán)限人的信息，同樣可以獲取數(shù)據(jù)。

　　高龍飛稱，目前國(guó)內(nèi)的大部分企業(yè)依然是傳統(tǒng)的安全管理辦法，技術(shù)上通過(guò)防火墻、加密等技術(shù)預(yù)防，同時(shí)以金字塔結(jié)構(gòu)設(shè)置權(quán)限，通過(guò)管理制度進(jìn)行防范，并且在網(wǎng)絡(luò)環(huán)境和物理環(huán)境上都對(duì)大數(shù)據(jù)業(yè)務(wù)進(jìn)行隔離。

　　便捷性和安全性這對(duì)矛盾會(huì)一直持續(xù)下去。但在某些信息方面，的確已經(jīng)有相關(guān)規(guī)定，禁止網(wǎng)站記錄用戶信息。高龍飛舉例說(shuō)，銀聯(lián)對(duì)于信用卡的網(wǎng)絡(luò)支付有規(guī)定，網(wǎng)站禁止記錄用戶的信用卡密碼、有效期和CVV碼(信用卡驗(yàn)證碼)。但這種禁止記錄的做法是否能推廣至整個(gè)行業(yè)很難說(shuō)，比如在電商領(lǐng)域，禁止平臺(tái)方記錄用戶的消費(fèi)軌跡，必然會(huì)引起平臺(tái)方的反彈。

　　(文中李康為化名)(編輯 盧愛(ài)芳 施建)