解读《网络安全法》 分析互联网信息泄露来龙去脉
- 来源:电子商务研究中心
- 2017/6/2 15:15:5443694
揭秘信息泄露的根源,谁是罪魁祸首?
这么多的个人信息,究竟是如何泄露的?中国电子商务研究中心特约研究员、上海市信息安全行业协会专委会副主任张威认为,在线旅游网站平台上的用户数据泄露主要有以下几种方式:1)黑客利用平台存在的安全漏洞入侵网站,盗取用户数据库;网站内部工作人员倒卖用户信息;2)通过撞库攻击,窃取用户数据;3)利用钓鱼攻击窃取用户信息;通过木马、病毒窃取用户隐私信息。
对于社交网络的个人信息泄露,张威表示现在对于社交网络的个人信息获取确实比较泛滥,利用人性的热点实现一些不道德的目的,很多人也因此上当受骗,近协会碰到比较多的问题。这种危害广大网民了解较少,从而不太注意,防范意识比较差。
一种是采集信息诈骗,类似此前朋友圈“刷屏幕”的“星座性格测试”这样的形式。通过看似有意思的互动活动,采集用户的真实信息,这些真实信息会和手机的IP和串号进行绑定,再通过针对性的策划进行诈骗。
还有一种是假冒微信群或q*对特定人群进行欺骗。近上海的某家上市公司就碰到这种手法的社交欺诈,公司财务某日被拉进一个公司工作交流的微信群,群里都是“公司员工”(中国电子商务投诉与维权公共服务平台注明:实际为骗子“马甲”),在讨论日常的工作,突然有个他老板头像的人在群里跟他说有个项目需要他马上打款169万,让他去操作,因为真实性很高,所以他立即向*账户进行了操作,到后才发现上当受骗了,因为那个群里除了他,其实其他人都是骗子,核心在于给他营造了一种场景。
而中国电子商务研究中心生活服务O2O部助理分析师陈礼腾表达了他对“共享充电宝”这一新型模式出现信息泄露的看法,利用共享充电宝盗取连接手机上的信息,从理论上说是可行的,这一安全隐患也确实存在。虽然还没有实际案例,但以前有媒体报道,有人借用别人的充电宝导致信息泄露,因此这一风险不容忽视。
一般来说,共享充电宝企业不至于主动在向消费者提供的共享充电宝上安装窃取手机信息的装置,对企业来说,这种行为风险太大。但是在共享充电宝的3种模式中,除了类似‘小电’这种固定的模式,其他两种模式的共享充电宝都处于相对开放状态,谁都可以借了带走。这就有一个隐患,即不法分子可能先借来充电宝,然后拆开,在里面安装上那种特殊的芯片,再还回去,等着充电宝被下一个消费者借走,当其开始使用时,就可以植入木马了。”
共享充电宝应该和共享单车一样,有特殊的设计要求,比如采用全封闭的防拆设计,避免被不法分子打开改装,或者一旦被打开过,借用充电宝的消费者就能发现,从而避免使用。陈礼腾表示:就目前看来,虽然共享充电宝融资不断,但对于这种单一服务的未来发展还不能作出乐观评价。随着信息价值越来越重要以及消费者对信息安全的重视,如果不能处理好该风险,势必会对其发展产生负面影响。
在中国电子商务研究中心主任曹磊看来,用户信息泄露有多种可能性途径,互联网信息泄露隐形风险重重。现在很多网民拥有多个账号,注册时网站一般都需要填写一些个人信息,如常见的账号、密码、邮箱等,有的网站甚至要实名认证。
中国电子商务研究中心法律权益部分析师姚建芳总结了信息泄露的三种原因:即拥有个人信息资料的商业机构被外部窃取或内部泄露;技术漏洞所致,造成用户大量隐私内容曝光;用户个人由于信息保管不当,被不法分子获得等。
要了解订单究竟从哪里泄露的,要看整个产业的流转情况。我们下单买一个东西,大体上要经过商家、电商平台、物流、后到达用户手中,所以这四个环节都有可能产生订单信息泄露的问题。
如何防范、打击个人信息被泄露呢?
信息泄露带来的危害毋庸置疑,那么如何保护用户的个人信息安全,对此,中国电子商务研究中心主任曹磊给出了如下四点建议:
,网站用户信息泄露有多种可能性途径。现在许多APP、网站、公众号、小程序都需要用户注册账号后才能正常使用。因此,每个网民拥有多个账号是很平常的事情。在注册时,网站一般都需要填写一些个人信息,如常见的账号、密码、邮箱等,像一些电子商务、婚恋、交友网站等还需要实名认证,要求填写的信息更加详细。平台上的用户数据泄露主要有以下几种方式:黑客利用平台存在的安全漏洞入侵网站,盗取用户数据库;网站内部工作人员倒卖用户信息;通过撞库攻击,窃取用户数据;利用钓鱼攻击窃取用户信息;通过木马、病毒窃取用户隐私信息。
第二,法律条文需细化,相关部门应适时介入。我国关于网络信息安全方面的法律条文不够明确,适用范围尚且不够,相关条文必须得到进一步细化、规范,以此更加公平公正地惩治网络信息安全事故的造成者,保护公民切身利益。此类信息泄露事件不适用“不告不处理的”的原则,相反,执法部门应主动积极介入案件调查,并对实施者进行追责处理。
第三,信息安全无小事,用户必须增强信息保护意识。警惕要求重新输入账号信息,否则将停掉信用卡账号之类的邮件,不要回复或者点击邮件的链接,以免落入圈套。同时,避免开启来路不明的电子邮件及文件,安装杀毒软件并及时升级病毒知识库和操作系统补丁,将敏感信息输入隐私保护,打开个人防火墙。网络银行时,选择使用网络凭证及约定账户方式进行转账交易,不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。不要在多个网站使用相同的注册账户名以及登录密码,防止网络黑客有意盗取,造成多个网站个人信息的连环失窃。
第四,要求网站平台收集和使用用户信息应当遵循“合法、正当、必要”三原则。对收集到的用户信息应当采取安全保护措施,一旦发生泄密,必须及时采取补救措施,否则都可能面临行政处罚或者用户的诉讼。
中国电子商务研究中心法律与权益部分析师姚建芳认为,保护个人信息,仅靠企业的技术手段远远不够,根据业界掌握的情况,很多互联网用户个人信息泄露事件都是一些企业内部员工泄露导致的,因此,企业加大对内部员工的管理、承接至关重要,还可以出台“黑名单”机制,各电商、互联网公司联网,一次*、各家平台、乃至全行业*录用!
中国电子商务研究中心特约研究员、广州金鹏律师事务所合伙人詹朝霞律师直言,可以毫不夸张地说,违法成本低,法律监管缺失是“泄密”事件再三出现的根源。按照美国的法律,企业发生一次信息泄露事件就可能被罚得倾家荡产。
遏制公民个人信息泄露不是一个群体努力就可以完成的事情,需要企业、用户和政府部门多方联手。作为企业应该多方面的保护用户的个人信息,防范泄露风险,通过各种技术手段屏蔽互联网黑客,窃取用户个人信息,同时加强对企业内部员工的管理。对于用户来说,应该提高保护个人信息安全意识,不主动外泄个人信息,在互联网账户上尽量使用复杂的密码,不要使用相同账户和密码,这样相对比较安全。完备的法律是保障个人信息的有力武器,只有法制和技术携手,个人信息保护的“防火墙”才能越筑越牢。