网络“黑色产业链”调查:环环相扣的数据泄露
一位业内人士对21世纪经济报道记者分析了几起案例,如2014年底,130万考研考生信息泄露。他分析称,许多考研培训机构需要这些数据,进而进行精准的市场推广。 与此同理,此前还发生过新生儿信息泄露事件。他称,许多母婴保健机构、培训机构、奶粉经销商、玩具经销商等各种盈利性组织对此类信息都有需求。 快递服务业同样是被黑产盯上的“重灾区”。有白帽子对21世纪经济报道记者表示,快递单号十分容易获得,只要对网址进行修改,就可以看到单号的具体信息。而在一些交易网站上,快递单号被明码标价,几毛钱就能买到一个单号信息。 这样的案例不胜枚举,交通、医疗、教育、金融服务、酒店业、快递业等公共服务行业机构都掌握了大量的用户信息,使之成为其上下游产业及类似机构觊觎的目标。 近年来,还有创业公司购买数据,迅速做大客户群,从而吸引外来投资。该人士举例,曾遇到过一位朋友的创业公司,通过购买数据,让自己的用户数据库看起来庞大一些。这种情况并不少见。 企业为何“休眠”? 在数据泄露的过程中,数据保管者有着不可推卸的责任。 乌云网合伙人邬迪告诉21世纪经济报道记者,几乎每一个网站都可能存在漏洞。漏洞是造成泄露的一大因素,乌云网建立的初衷之一就是为了减少因漏洞造成的泄露,在泄露之前对漏洞曝光,并通知厂商及时修补。 邬迪表示,国内企业的安全意识并不强,一开始,很多企业在被通知漏洞后会选择置之不理,这是造成之后信息被泄露的原因之一。 21世纪经济报道记者梳理了以往发生的信息泄露事件,一些漏洞引起的问题反复出现。 如此前被乌云网频频爆出漏洞的12306网站,并非首次出现用户信息泄露事件,漏洞却迟迟未修复。 再比如,2014年3月22日,乌云漏洞平台发布消息称,携程系统存在技术漏洞,可导致用户个人信息、银行卡信息等泄露。漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码以及银行卡6位Bin(用于支付的6位数字)。而在此之前,携程信息安全漏洞事件就已经多次发生,其中2014年1月,在被媒体指出储存信用卡敏感信息存在泄露风险时,携程网回应称采用的信用卡支付方式符合国际惯例。 业内人士分析,企业数据安全意识不强、惩处机制的不明是导致企业在漏洞发生后没有及时修补的原因之一。 另外,数据库的设计缺陷也是数据可能泄露的原因。一位数据库的设计人员告诉21世纪经济报 |
