【典型案例】
电商平台成安全漏洞重灾区
京东此次引起轩然大波的12G数据事件却非个案,不过是互联网信息安全问题的“冰山一角”。
人民日报曾报道,今年有78.2%的网民个人身份信息被泄露过,63.4%的网民个人网上活动信息被泄露过;而有82.3%的网民亲身感受到了个人信息泄露的影响。
而电商平台,由于掌握着用户的“钱”“个人信息”“亲友信息”“购买偏好”等大数据,一直是数据泄漏的重灾区之一。。
2014年年初,支付宝被爆20G用户资料泄漏。
后经调查,此次泄漏是“内部作案”:支付宝前技术员工李明,利用职务之便,多次在公司后台下载用户资料。
这20G资料,包括用户个人的实名、手机、电子邮箱、家庭住址、消费记录等,相当精准。李明和两个同伙,将用户资料按条数出售,价格不等,价值较高的,一条可卖数十元;也有人以500元的代价,购买了3万条用户信息。
这个故事中更有意思的部分是,购买这些数据的买家,都是“友商”,比如其他电商平台。
除了支付宝,早在2012年,1号店被曝网上商城员工与离职、外部人员内外勾结,90万用户资料泄露,价格只需500元。可见“内鬼”是电商信息泄漏的重要原因。
除此之外,电商平台由于自身技术漏洞,被黑客戳中软肋,盗走数据,也是常见现象。2014年3月,当当网113位用户账户余额被盗用;同月,乌云漏洞平台曝光携程系统存技术漏洞,可导致用户个人姓名、身份证号码、银行卡类别、银行卡卡号等重要信息泄露。携程随后发布声明表示,确认共93人账户存安全风险。2014年年底,中国铁路购票网站12306的6个子网站存在高危漏洞,致数十万条用户数据外泄,包括用户账号、明文密码、身份证、邮箱等敏感信息在内的数据被贩售。12306宣布悬赏、号召网友查找漏洞。而在今年,知名网络问答社区知乎亦被爆出用户账户出行漏洞……
不论是内鬼作祟还是黑客攻击,无非都是利益驱动。无论是公司内鬼,还是黑客盗取,都足以让我们恐慌。而银行业、网络运营商、甚至公安系统的数据泄漏和买卖早就是多年黑产,早已成为万亿级市场。
盘点近几年知名的数据泄漏事件,巨头动辄影响千万、亿级用户,原因类似,均是有利可图。
互联网大公司数据泄漏 8 起
2015年,京东被爆出大量用户信息泄漏,损失数百万,一年后称是因为出现“内鬼”。
2015年10月,支付宝实名认证漏洞,同一用户发现自己的实名认证多了五个未知账户,原因是“个人信息泄漏”
2015年10月,网易过亿数据泄漏,绑定网易邮箱为icloud的iphone用户手机被锁,甚至遭到敲诈。
2015年8月, 乌云漏洞报告平台称,大麦网600多万用户账号密码泄露,原因是“技术漏洞”。
2014年3月,当当网113位用户余额被盗用,原因是“黑客盗取”。
2014年3月,携程93个账户存在安全风险,原因是“技术漏洞”
2014年初,支付宝被爆20G用户资料泄漏,经调查也是“内部作案”。
2012年,1号店被爆90万用户资料泄漏,价格只需500元,原因是“内外勾结”。
互联网公司串号漏洞 2起
2016年9月知乎ios端出现串号漏洞, 登陆会换到陌生账号,并完全看到该用户的私信与匿名回答。
2013年,新浪微博串号漏洞,新浪总编辑陈彤中招。
非互联网行业数据泄漏 5起
2015年2月,七大酒店被爆泄漏千万开房信息, 包括顾客姓名、身份证、手机号、房间号、房型、开房时间、退房时间、家庭住址、信用卡后四位、信用卡截止日期、邮件等等大量敏感信息。
2015年4月,多省社保信息遭泄露,涉及数千万人, 其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。
2015年 6月,工行快捷支付被爆曝存在严重漏洞,多位北京地区的工行储户遭遇了存款被盗事件。犯罪分子借助非法途径截获短信验证码,轻而易举地盗窃存款。
2015年10月,中国电信上亿用户信息泄漏, 涉及姓名、证件号、余额,并可以进行任意金额充值、销户、换卡等操作。
2015年国家旅游局漏洞致6套系统沦陷,涉及全国6000万客户,6W+旅行社账号密码、百万导游信息;并且攻击者可利用该漏洞进行审核、拒签等操作。
