大數(shù)據(jù)概念方興未艾,用戶的姓名、手機(jī)號(hào)碼、地址等成為大數(shù)據(jù)的最基礎(chǔ)組成部分。而隨著電商、互聯(lián)網(wǎng)金融的發(fā)展,企業(yè)在收集這些用戶信息時(shí)更加快捷、全面,并對(duì)這些數(shù)據(jù)進(jìn)行存儲(chǔ)和分析,從而實(shí)現(xiàn)商業(yè)目的。但數(shù)據(jù)安全卻常常成為部分企業(yè)忽視的一環(huán)。
由于電商的發(fā)展帶來快遞行業(yè)的突飛猛進(jìn),這使得快遞公司成為繼互聯(lián)網(wǎng)巨頭之后擁有用戶個(gè)人真實(shí)信息數(shù)量最多的角色之一。然而在目前國(guó)內(nèi)的快遞行業(yè)中,顯然數(shù)據(jù)安全受到的重視并不足夠。
大數(shù)據(jù)是把雙刃劍,用好了可以提高效率,若被不法分子利用了,后果則不堪設(shè)想……
快遞業(yè)“亂象叢生”
縱觀現(xiàn)今快遞行業(yè),除了 “四通一達(dá)”和順豐外,各區(qū)域還分散著數(shù)萬家大大小小的快遞公司,這些公司的管理極不規(guī)范,用戶信息正是在這張漏洞百出的網(wǎng)絡(luò)中“裸奔”。
據(jù)了解,在配送訂單時(shí),用戶信息會(huì)明文同步至公司的電腦上,并且這部分?jǐn)?shù)據(jù)可以長(zhǎng)時(shí)間存儲(chǔ)。另一方面,訂單配送完返回的面單(顯示用戶信息)也集中在加盟公司中。和電商網(wǎng)站的合作,也是類似的模式,電商的數(shù)據(jù)和快遞公司共享。
其實(shí)一些大型快遞公司都有規(guī)定,面單要定時(shí)集中銷毀,電腦中的數(shù)據(jù)也要定時(shí)清理,但在實(shí)際操作中,這些規(guī)定很難有約束力。比如說,這些數(shù)據(jù)就存在一臺(tái)電腦的硬盤里,一個(gè)快遞員就可以隨時(shí)調(diào)取。
在快遞單處理方面也存在問題,因每年數(shù)萬份紙質(zhì)快遞單不易存放,有的做廢紙賣,有的更甚是直接賣給“客戶”,他們主要是賣給一些網(wǎng)店店主,或是部分做零售的大企業(yè),店主和企業(yè)拿到這部分?jǐn)?shù)據(jù)后用于營(yíng)銷,對(duì)于他們而言,兩三角錢一份面單的價(jià)格可以接受。而快遞公司也順便“廢物”利用,增加收入。
有的公司也會(huì)要求安裝防火墻,甚至上線數(shù)據(jù)防泄露技術(shù),大部分快遞公司更不會(huì)考慮。
在快遞行業(yè)數(shù)據(jù)安全防護(hù)水平普遍較差,如網(wǎng)站漏洞多、修復(fù)不及時(shí)、運(yùn)維人員安全意識(shí)薄弱(使用弱口令)等方面。而造成這種問題的主要原因是:因絕大多數(shù)快遞公司沒有專業(yè)安全運(yùn)維團(tuán)隊(duì),甚至沒有對(duì)網(wǎng)站做基本的安全防護(hù),有的快遞公司網(wǎng)站干脆委托給外包公司運(yùn)營(yíng)。
這使得網(wǎng)站漏洞長(zhǎng)期得不到修復(fù),例如安全公司多次預(yù)警的Struts2代碼執(zhí)行等高危漏洞,仍有快遞公司網(wǎng)站沒有進(jìn)行修復(fù)。此外,弱口令問題在快遞行業(yè)也非常突出,在近日曝光的快遞業(yè)數(shù)據(jù)泄露事件中,犯罪嫌疑人就是利用弱口令進(jìn)入快遞公司網(wǎng)站服務(wù)器的管理后臺(tái),從而竊取了用戶數(shù)據(jù)庫(kù)。
落后的信息泄露的重災(zāi)區(qū),線上極容易被黑客攻破。
“大數(shù)據(jù)”之憂
根據(jù)統(tǒng)計(jì)表示,除了快遞行業(yè),國(guó)內(nèi)醫(yī)療衛(wèi)生、教育培訓(xùn)、旅游酒店、生活房產(chǎn)、人才招聘等行業(yè)的網(wǎng)絡(luò)安全問題也尤其嚴(yán)重,這些行業(yè)網(wǎng)站存在漏洞和被植入后門的比例都相對(duì)較高,而且也是黑客重點(diǎn)攻擊的目標(biāo)。
由于上述行業(yè)的用戶數(shù)據(jù)涉及大量個(gè)人隱私信息,例如健康狀況、個(gè)人簡(jiǎn)歷、聯(lián)絡(luò)信息、出行記錄等,一旦被黑客攻擊,數(shù)據(jù)泄露的危害完全不亞于快遞數(shù)據(jù)泄露事件,而此前曝光的2000萬條酒店開房記錄已經(jīng)敲響了警鐘。就在不久前,某市醫(yī)療保健網(wǎng)站被白帽子發(fā)現(xiàn)高危漏洞,涉及150萬孕產(chǎn)婦的信息在網(wǎng)上裸奔,此類數(shù)據(jù)都可能隨時(shí)被黑客竊取。
用戶通過各種賬號(hào)登錄互聯(lián)網(wǎng),有多個(gè)環(huán)節(jié)會(huì)留下痕跡,而給黑客提供便捷入口。首先通過瀏覽器登錄時(shí),緩存如果沒有及時(shí)清除,黑客很容易便可攻破而獲取數(shù)據(jù);然后數(shù)據(jù)傳輸時(shí),如果不加密,信息同樣會(huì)被攔截;最后一步存儲(chǔ),很多企業(yè)均是明文(不加密)存儲(chǔ),只要黑客攻破,很容易獲取數(shù)據(jù)。
國(guó)內(nèi)的大部分企業(yè)依然是用傳統(tǒng)的網(wǎng)絡(luò)安全管理辦法:技術(shù)上通過防火墻、加密等技術(shù)預(yù)防,同時(shí)以金字塔結(jié)構(gòu)設(shè)置權(quán)限,通過管理制度進(jìn)行防范,并且在網(wǎng)絡(luò)環(huán)境和物理環(huán)境上都對(duì)大數(shù)據(jù)業(yè)務(wù)進(jìn)行隔離。
便捷性和安全性這對(duì)矛盾會(huì)一直持續(xù)下去。但在某些信息方面,的確已經(jīng)有相關(guān)規(guī)定,禁止網(wǎng)站記錄用戶信息。如,銀聯(lián)對(duì)于信用卡的網(wǎng)絡(luò)支付有規(guī)定,網(wǎng)站禁止記錄用戶的信用卡密碼、有效期和CVV碼(信用卡驗(yàn)證碼)。但這種禁止記錄的做法是否能推廣至整個(gè)行業(yè)很難說,比如在電商領(lǐng)域,禁止平臺(tái)方記錄用戶的消費(fèi)軌跡,必然會(huì)引起平臺(tái)方的反彈。
一邊是數(shù)據(jù)的不斷集中,大數(shù)據(jù)應(yīng)用逐步落地;一邊則是越來越多的數(shù)據(jù)泄露案件。所以想要從根本上解決此問題,在個(gè)人防護(hù)意識(shí)、網(wǎng)絡(luò)安全防護(hù)技術(shù)和行業(yè)管理制度上面還亟待提高。