查看原文
其他

【原创 · 舞弊案例】信息安全管理不善,客户信息竟成黑市商品!

2017-02-17 风控在线 风控在线



案例回放



12月10日晚,一个12G的数据包开始在黑市流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。而黑市买卖双方皆称,这些数据来自京东。


对此,京东方面凌晨发布声明,并没有否认这些数据来自京东。但强调,该数据初步判断源于2013年的一次安全漏洞。京东表示,当时国内几乎所有互联网公司及大量银行、政府机构都受到影响,导致大量数据泄露,暗指这个问题不只是京东一家出问题。


电商平台成信息泄漏“重灾区”


据报道,因这12G的数据包,黑色产业再次被搅动。一些地下渠道,开始对数据进行明码标价交易,价格从“10万到70万”不等。业内人士称,数据已被销售多次,“至少有上百个黑产者手里掌握了数据”。值得注意的是,黑客会通过已泄露的用户名和密码,尝试批量登录其他网站,获取数据。而伤害值最高最直接的,就是撞进一些金融账户,直接将资金转走。


事实上,这已不是京东第一次被曝数据外泄。


2015年,京东就被曝出大量用户隐私信息泄露,多名用户被骗走金钱,总共损失数百万。直到一年后,京东才公布调查结果,称是因为出现“内鬼”。所谓的“内鬼”,是3位物流人员,通过物流流程,掌握了用户姓名、电话、地址、何时下单、所购货物等信息,总数据达到9313条。



2014年年初,支付宝被爆20G用户资料泄漏。后经调查,此次泄漏是“内部作案”:支付宝前技术员工李明,利用职务之便,多次在公司后台下载用户资料。这20G资料,包括用户个人的实名、手机、电子邮箱、家庭住址、消费记录等,相当精准。颇有意思的事,购买这些数据的买家,都是“友商”,比如其他电商平台。


除了支付宝,早在2012年,1号店被曝网上商城员工与离职、外部人员内外勾结,90万用户资料泄露,价格只需500元。




由此可见,“内鬼”是电商信息泄漏的重要原因,除此之外,电商平台由于自身技术漏洞,被黑客戳中软肋,盗走数据,也是常见现象。


2014年,是电商平台安全风险集中爆发的一年。3月,当当网113位用户账户余额被盗用。黑客先是盗取用户登录信息,然后修改用户绑定手机、邮箱地址等信息,最后购买电子产品等贵重商品。当当网在舆论重压下,宣布给予用户补偿。


同月,乌云漏洞平台曝光携程系统存技术漏洞,可导致用户个人姓名、身份证号码、银行卡类别、银行卡卡号和银行卡用于支付的6位Bin码等重要信息泄露。而携程随后发布声明表示,确认共93人账户存安全风险,已通知相关用户更换信用卡。



年底,中国铁路购票网站12306的6个子网站存在高危漏洞,致数十万条用户数据外泄,包括用户账号、明文密码、身份证、邮箱等敏感信息在内的数据被贩售。12306宣布悬赏、号召网友查找漏洞。


案例分析


今,网上消费已成为大势所趋,支付宝、微信支付等线上支付方式已经深入亿万用户的生活。随着用户群的爆炸性增长,各种网络平台收集到的用户信息也水涨船高。这些用户信息一方面为网络平台的精准营销打下了扎实的基础,另一方信息安全的问题也随之而来。如前述的这些案例所示,倘若网络平台的信息安全工作没有到位,用户的财产信息就会暴露在极大的风险中。


作为专业的综合网上购物商城,京东销售超数万品牌、4020万种商品,囊括家电、手机、电脑、母婴、服装等13大品类,客户数量超过1亿。这次被曝出信息泄露,不仅仅说明京东的内部流程存在漏洞,也为亿万用户和其他的网络平台敲响了警钟。


针对此次事件,我们认为,京东等电商平台应该从以下几个方面加以查缺补漏:


(1)建立健全的内部员工监督体系


观看新闻后可以发现,信息泄露的一大源头是内鬼作案。尤其对于那些直接经手用户数据的前端人员以及后台的技术人员,若是内控管理不善则极易给这类人带来可乘之机。为此,建议企业采取如下措施加强信息的管理:


  • 对服务器端的文件进行加密技术的处理,保证日志文件中的信息无法明文显示

  • 对于拷贝或下载隐私信息等敏感性操作,系统能够进行警报;

  • 服务器设备上应封住任何可以插取存储设备的端口;

  • 禁止将手机或相机等具有拍照功能的设备带入服务器房间;

  • 对于前端人员应设置相应的权限,只保留必要的信息可供其显示查询,其他不必要的信息则进行隐藏。


(2)加强员工的风险意识培训


某些情况下信息的泄露并非员工有意盗取信息,而是在工作过程中一些无意识的不规范操作所导致的。对于这种情况,建议企业应定期对相关的人员进行培训,加强风险管理意识,避免无意中泄露信息情况的出现。此外,企业应当针对服务器的运行应定期开展系统风险评估,每年至少进行2-3次,识别出服务器端中所存在的风险,测试是否具有有效的控制措施加以防范。


往期案例推荐

【原创 · 舞弊案例】高价值芯片接连被盗 究竟是谁的过?

【原创 · 舞弊案例】另起炉灶带走资料,离职员工侵权案上升成隐忧

【原创 · 舞弊案例】美食城收银退款出漏洞收银员串通套钱终发现

【原创 · 舞弊案例】联通员工盗取流量 致公司损失45万余元

【原创 · 舞弊案例】冒充公司高层QQ,上市公司被骗三千万

【原创 · 舞弊案例】20余员工监守自盗 超市数月损失千万元

【原创 · 舞弊案例】一失足成千古恨 老会计因妒挪用款项百余万

【原创 · 舞弊案例】4S店再次出事,销售人员携款潜逃

【原创 · 舞弊案例】虚构人员做假,骗取公款是真

【原创 · 舞弊案例】“聪明”会计利用表格【隐藏】功能,给自己多发13万

【原创 · 舞弊案例】嗜赌店长自制单据,侵占手机近四百部!

【原创 · 舞弊案例】伪造欠条回款,侵占货款获刑

【原创 · 舞弊案例】伪造工程签证,联合造假舞弊

【原创 · 舞弊案例】二维码门票遭篡改,迪士尼乐园陷漩涡

【原创 · 舞弊案例】三年私吞4426万公款 在京购置房产豪车获刑

【原创 · 舞弊案例】技术男乾坤大挪移 库存量减少现端倪

【原创 · 经典案例回顾】出纳15次挪用公款被判18年!

【原创 · 经典案例回顾】业务人员收取承兑汇票:效率下的黑洞

【原创 · 经典案例回顾】收银系统存在漏洞,现金截留再现江湖

【原创 · 舞弊案例】饿了么再遇丑闻!订餐平台究竟该如何做好商户管理

【原创 · 舞弊案例】职务便利须防范,员工竟把信息卖

【原创 · 舞弊案例】支行被骗逾10亿,客户经理当内应

【原创 · 舞弊案例】保证金账户不“保证”,百万借款打水漂



Copyright©2014-2017 风控在线

该素材文章为风控在线微信公众号原创内容,为风控在线版权所有,如需转载,请注明转载自风控在线微信公众号。如未注明内容出处,我们将联系微信官方进行处理,谢谢!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存