网易首页 > 新闻中心 > 新闻 > 正文

审计环节缺位 “内鬼”作祟批发信息

2016-12-13 06:07:24 来源: 南方都市报(深圳)
0
分享到:
T + -

(原标题:审计环节缺位 “内鬼”作祟批发信息)

审计环节缺位 “内鬼”作祟批发信息

审计环节缺位 “内鬼”作祟批发信息

周小姐(化名)不久前在淘宝平台上的一户商家买了衣服,但隔天就有人打电话给她。“对方称那件衣服仓库没有货,发短信让操作退货。”据周小姐透露,对方甚至准确报出了周小姐所购衣服的店名、服装尺码等种种信息。“幸亏与卖家核实,否则就受骗了。”与周小姐类似遭遇的还有李小姐,她在南航A P P购买机票后,起飞前一天就有四川一个为未知电话通知其改签,并且明确说出了其购票的时间、渠道、航班号……

12月12日,一则《南都记者700元买到同事航班/列车/银行卡等10项信息,开房记录精确到秒》的报道再度刷爆朋友圈。如今,“互联网上无隐私”已经基本变成大家的共识。海量个人信息在黑市上流通,批量价格甚至低至几块钱/条。这意味着,只用几元成本,消费者就可能面临一次天衣无缝的“诈骗”。

在web1.0时代,这种数据可能只是电信诈骗的一个导火索,但随着网络支付手段的成熟,数据的泄露将直接导致消费者在互联网“裸奔”、成为“透明人”,而由此衍生出的各种安全问题日益浮出水面。那么追根溯源,信息泄露究竟是怎么造成的呢?

“内鬼”作祟“批发”信息

针对南都12月12日当天报道的内容,猎豹安全专家李铁军认为不是普通的信息泄露,“怀疑有管理存储公民个人信息的人非法出售个人信息。”

“放大到整个互联网来看, 内鬼 出售用户信息的情况已经 非常严重 。李铁军表示。尤其在互联网上,这种信息的销售价格十分低廉。南都记者调查了解到,淘宝上销售的二手数据基本低于1毛,如果批量购买,1万条二手数据价格约在300-500元左右。

南都记者曾在一个电信开卡的Q群中看到,有许多贩卖个人信息的代理商,代理销售的产品相当“多元化”。

据其中一位代理商称,“可以购买身份证照片(正面+反面+手持)一套,还可以选择露手臂的,穿长袖的,或者60岁以上老人的”,并表示“照片为全新一手资料,开卡通过率100%。”至于号码如何代开通,对方表示,只需要把手机号码以及sim卡背面的iccid号发送给他就可以立刻激活。而对于价格,据称“一般开卡需要几千张起,量大单价可以降到3元/张。”

目前,互联网已经成为信息泄露的重灾区。“实际上,(内鬼)是可以防范的,主要是做好权限管理跟账号管理。”知道创宇超级安全体检团队负责人王宇告诉南都记者。据了解,华为在内控上,核心数据不能够通过硬件(U盘)拷走;而支付宝则是在不同工作人员显示页面加入肉眼不能看到的水印技术,有安全人员透露,之前它曾有一个后台截屏传出就通过这个水印追查到人。

“最基本是审计软件,这就相当于物理环境的摄像头,你把企业内部信息发出去必须经过内部网关。”王宇表示。

但大部分企业并没有办公出口的审计系统。

“有些公司业务过于庞大,分支机构较多,管理水平参差不齐,领导的重视程度也有限,有些信息基本处于半公开状态,很容易造成泄露。”一位不愿透露姓名的企业管理层透露,目前政策缺位,政府对此监管乏力,企业在这一领域的投入和监管还不完善,一些掌握核心信息的机构、甚至是基层环节比如快递员,获取信息的门槛并不高。

技术层面直接正面攻击

不过,李铁军表示,更严重系统漏洞带来的信息泄露规模更惊人。但“系统漏洞泄露的信息往往不够新,有的是转过很多次手。”

南都记者采访获悉,目前任何系统都不可能100%杜绝漏洞。

“白帽汇”首席安全官邓焕表示:“常规做法只能说不停排查漏洞,不能100%避免;另外就是通过一些独特算法去二次加密数据,实际上现在最常用的纯MD5基本都能破解。”

据悉,支付宝在传输上通过全站H ttps加密传输以及提供安全组件SDK功能避免即使数据泄露也不易被破解。

当然即使自身系统技术层面没问题也不表示不会被攻击。去年携程、12306先后发生重大数据泄密事件,而官方均表示为撞库导致。

所谓撞库,就是利用现有的密码组对不同网站进行重复登录突破,这种前端的攻击手法也是企业安全目前最无能为力的领域,只能通过对登录进行各种限制来防止系统攻击,比如去年12306所用的“史上最难验证码”就是为了避免机器人反复登录———当然,这也说明了安全性与便利性永远是一对矛盾。

“这个只能通过接口设计合理化来规范,比如说限制登录频率,验证码复杂化。”白帽汇首席安全官邓焕说,最有效的方法是厂商之间的联防联控,但毕竟数据是厂商最重要的资产,这个很难协调。

决策者的意识淡薄

“实际上现在企业安全最大的难题是决策者重视态度。无论技术还是 内鬼 ,以及外部攻击,其实都有完善的防范方式。”王宇告诉南都记者,据他所知,“小型网站的安全占整个IT投入估计不到1%。”

腾讯《互联网+企业网络安全生态研究报告》数据也说明了这点。2014年我国信息安全投资为34亿美元,占整个IT投资比例不到3%;相比之下美国2016年全年安全预算140亿,占整体IT投入10%-20%。与此同时,我国接近40%的小微企业甚至连信息安全团队以及资金预算都没有。

“我2015年总共挖了100多个漏洞,也就30%左右给了钱,加起来就1万块左右。”一位正面黑客小林(化名)曾如是告诉南都记者,他是一个安全公司的技术测试员,没事就在补天或者乌云等黑客平台发布自己发现的漏洞。他有一次破解一个网站MD 5算法,每天泡7小时在上面,用了上千种算法半个月时间才破解了它,但当他把漏洞提交给企业时,企业也没有选择给钱。

这种情况在小型网站尤为明显。

“他们觉得自己只是个小网站,并没有敏感信息,没有被攻击的可能。”360董事长周鸿祎透露说,比如360补天之前发现了一个高校的漏洞,但技术方获悉后近半年时间也没修复。“但一个同学在校园BBS的ID密码有可能是他支付宝的ID,这是个 顺藤摸瓜 的过程。”一名黑客曾告诉南都记者,他曾经用一个简单的万能密码(“OR1=1”)成功登入一个政府网站的后台。

同样的,新型的攻击手段被企业理解接受有时候也需要时间。“许多企业现在注重SQL注入这种常规纯技术的攻击,但现在O 2O类网站有一类新问题是应用层面的逻辑问题,比如说修改购物车的商品数量,或者是直接盗刷积分。”王宇说,之前也有客户对此并不关心,直到遭到上千万的损失才“亡羊补牢”。

律师观点

取证难,用户索赔难

对于因信息泄露导致的用户损失,涉事企业是否应当赔偿用户的疑问,知名IT与知识产权律师、中国政法大学知识产权中心特约研究员赵占领向南都记者表示:如果因为企业自身安全漏洞等情况导致用户个人信息泄露,这种属于被动行为,这时候不涉及刑事责任,但应该承担民事责任,这种情况下,企业必须根据用户的实际损失来进行赔偿。

但前提是,用户能够提供证明,证实信息确实是在该渠道泄露出去的,但这个取证往往非常困难,因为现在用户的信息往往在各个渠道都有,很难证明就是从具体的某个渠道被泄露出去的———这时候,除非企业自己承认信息泄露,或者犯罪嫌疑人被抓到,指证用户信息就是从具体某个渠道获得的。否则,普通用户很难举证信息究竟是从哪个渠道被泄露出去的,就很难索赔。

策划:甄芹田爱丽

采写:南都记者 蔡辉 李冰如 莫柳

(原标题:审计环节缺位 “内鬼”作祟批发信息)

netease 本文来源:南方都市报 责任编辑:王晓易_NE0011
分享到:
跟贴0
参与0
发贴
为您推荐
  • 推荐
  • 娱乐
  • 体育
  • 财经
  • 时尚
  • 科技
  • 军事
  • 汽车
+ 加载更多新闻
×

网约车司机边开车边自慰 女子拍视频上网却被拘

热点新闻

猜你喜欢

阅读下一篇

返回网易首页返回新闻首页
用微信扫描二维码
分享至好友和朋友圈
x