致命的大数据泄密
有句墨西哥谚语说“别跑得太快了,你会把灵魂跑丢的”。
中国高速发展的互联网企业,不幸被这句谚语说中。
日前,国内在线旅游行业巨头携程旅行网陷入“泄密门”,携程用户信用卡信息面临泄露风险,引发数用户的恐慌。此后,更
多的问题暴露出来(如携程还在用户不知情的情况下存储了用户信用卡的C V V码等),让用户对安全漏洞忧心忡忡。
进入大数据时代,信息安全受到用户的高度重视。然而,这两三年以来,不断传出互联网企业信息泄露事故,特别是前年密集
的快递公司用户资料泄露事故,去年10月份的“酒店开房信息遭泄露”事件,以及这次的携程“泄密门”,泄露的信息越来越
逼近用户的核心利益。
世界上没有完全可靠的安全防护措施,各种技术层面上的和管理层面上的安全漏洞,加上无孔不入的入侵,使得信息安全
如同高悬在用户头上的达摩克利斯之剑,随时都有落下来的可能,谁也不知道下一次更严重的泄露事故何时会发生……
携程陷“泄密门”
“各位注册过携程的,在携程用信用卡支付过的,赶紧关掉信用卡网上支付吧,出大事了……”3月22日晚间,这条微信被疯转
,并快速引发连锁反应,汹涌的电话涌向农业银行、交通银行等携程合作银行,电话的主题只有一个:换卡或者解除捆绑。
这里所谓的“出大事”,就是有了携程的安全漏洞。3月22日傍晚18点18分,一个编号为54302的漏洞报告,被在
互联网安全问题反馈平台乌云(w***)之上,发布者是乌云的核心白帽子“猪猪侠”。乌云平台这两年因多次发布知名互
联网公司的安全漏洞,受到互联网公司信息技术部门和专业人士的高度重视。但是,对于绝大多数普通人来说,乌云平台完全是个
陌生的词汇,乌云平台上发布的漏洞报告,也是与自己的生活八竿子也打不着。
然而,这次的漏洞报告却是个例外。
“猪猪侠”在报告中指出,携程的一个漏洞会导致大量用户(包含持卡人姓名、身份证、号、卡C V V码
、6位卡Bin)泄露,而这些信息可能直接引发等问题。携程有着数千万会员用户,而携程的漏洞可能导致信用卡,事关“钱
袋子”,兹事体大!很快,各种版本的传言,借助微信、微博以几何倍增的速度传开,“换卡”一时间成为传播为频繁的热词。
“晚上回到家,打开微信一看,朋友圈里炒翻了天,都是说携程泄露的事,都在提醒朋友们换卡。我在携程上也捆绑了几张信
用卡,当时就慌了,马上致电几家银行要求解除与携程的捆绑。事关资金安全,宁可信其有,不可信其无。”家住广州番禺南国奥
园的潘小姐告诉南都。
据了解,携程合作的银行包括工商银行、中国银行、招商银行、浦发银行等十余家,第三方支付机构包括支付宝、财付通、银
联在线等。在22日当晚,与携程合作的上述银行客服电话几乎被打爆。
在漏洞报告挂出来两个小时后,携程方面做出回应称,这是在技术调试过程中出现了短时漏洞,携程在两小时内修复了这个漏
洞。携程声明,除了漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况。携程同时承诺,未来如
果因安全漏洞引起用户损失,将承担全部责任并给予赔付,并强调“用户在携程的交易仍旧是安全的,用户的信息安全没有受到影
响”。第二天,针对漏洞事件,携程再次发表声明,此次漏洞共涉及93名存在潜在风险的携程用户,客服已通知相关用户更换信用
卡。
然而,携程的这份回应,并没有打消用户的顾虑。且随着更多信息的披露(包括携程用户的被案例,技术专家的分析等
),携程更多的问题被,特别是携程擅自保存用户信用卡C V V码(又叫用户识别码,是进行非面对面交易时用于确认用户
身份的识别码,作用类似于密码)等信息,更是违反了中国人民银行颁发的《收单业务管理办法》。
此后,携程方面承认了非法存储C V V码一事。其补救措施是“我们将在交易完成后删除客户的CV V信息,不再保存。以前保存
的那些CV V信息,正在予以删除”。另外,客户信用卡信息的传输和保存始终处于加密状态,任何未经授权的人员都无法取得这些
资料。携程部相关负责人在接受南都采访时强调:“我们已建立了信用卡安全服务小组,将协助客户与银行沟通。未来如
果因携程安全漏洞引起用户损失,携程将承担全部责任并给予赔付。”
携程漏洞的发现者“猪猪侠”在接受南都采访时,对携程的事都说不方便提,对携程漏洞的危害性大不大这个问题,更是
直言“不回答”。不过,知道创宇的研究部总监余弦告诉南都,这次携程用户反应过度了,绝大多数人都是技术门外汉,对信
用卡安全的担忧,造成了一种恐慌情绪。“乌云是在携程对漏洞及时修复后才发布漏洞报告的,并没有泄露信息,威胁没想的那么
大”。
被称为“中国教父”的龚蔚在接受南都采访时则强调,从乌云方面的说法看,是把携程这个漏洞的危害级别列为高级
;从携程方面披露的情况看,影响的用户是93个,身份证号和姓名是明文,信用卡和C V V码是强加密。如果携程说的是真的话,这
对一般来说,破解是有难度的。
互联网公司“命门”
“每一次数据泄密,都是的一次狂欢。”在广州开了家小型工作室的郑阳告诉南都。郑阳的工作室对外号称专注
数据挖掘业务,其实主要业务就是为客户获取竞争对手的商业数据资料。“客户资料数据是很多企业梦寐以求的东西,互联网公司
的,动辄千万级上亿级,拿到手就能到地下黑市换钱。”
携程“泄密门”,是近两三年来诸多互联网公司———包括那些深度融入互联网的传统公司,如连锁酒店、快递公司等———
信息泄露事故的新版本。在携程“泄密门”之前,影响较大的信息泄露事件,就包括去年10月份的“酒店开房信息遭泄露”事件
,2012年年底发生的快递公司用户资料泄露事故,以及2011年底发生的中国互联网史上大泄密事件:由国内大的程序员社区C
SD N上600万用户资料被公开拉开序幕,天涯社区、猫扑、开心网、多玩等多家知名互联网公司先后被爆客户注册信息库被泄密等。
在郑阳看来,大数据时代,才是的“黄金时代”,而高速发展的互联网企业数据信息,则是盘中的“美味佳肴”。“
互联网公司发展太快,各种安全机制根本跟不上。特别是那些中小互联网公司,留下了大量的漏洞。”相对而言,大公司的信息安
全配置相对较为靠谱,但老虎也有打盹的时候。“大公司一旦出现一些人为失误,产生安全漏洞,们就会像秃鹫一样扑上去。
当然,这一切常人都看不见。”
所幸的是,这次发现携程安全漏洞的是白帽子,这些白帽子一般都会在发现漏洞后立即向相关公司发出警报,在公司
修补好漏洞之后再向公众公布。如果是被不怀好意的发现了这个漏洞,那么,携程“泄密门”的影响,绝不是现在这个局面。
因为从目前披露的信息来看,携程不但会保存客户的信用卡卡号,连背后的三位C V V码都会一并保存。后果自然是严重的:在境外
,很多网站是不需要额外的密码,只需要获得这两样信息就能轻易地将信用卡里的钱划走。
互联网企业对信息安全投入的不足,给狂欢创造了便利条件。
以广州某知名电商公司为例,该公司年销售规模近百亿人民币,但公司在信息安全上的投入明显不足,其负责信息安全的团队
不足十人。“欧美互联网公司在信息安全方面的投入,往往占到IT总支出的8%~10%左右,而中国互联网公司在信息安全方面的投入
只占到IT总投入的1%左右。相比而言,国内金融机构在信息安全上的投入往往会占到整体IT投入的10%以上。”在信息安全领域打拼
了十余年的华夏创技有限公司副总裁卢德利告诉南都,“同样是数亿用户,金融机构有着严格的信息安全管理机制,很少
出人为失误。但互联网公司则有很多的人为安全漏洞,在这方面互联网公司需要大补课。”
互联网企业之所以成为信息泄露的重灾区,在余弦看来,还有一个重要原因,就是以前线下的坑蒙拐骗都搬到了互联网上,利
用互联网的各种漏洞进行违法犯罪活动。“互联网打破了空间和区域的限制,又大大缩短了时间成本,这就让骗子们的犯罪成本变
得比以前低很多。而且现在互联网的监管力度都比较松散,法律法规也比较复杂,导致这样提供犯罪的机会就更多了。”
层出不穷的泄密
陈冠希“艳照门”已成往事,斯诺登泄密事件也只是老百姓茶余饭后的谈资。然而,这两三年不断发生的快递公司用户资料泄
密、连锁酒店用户资料泄密、信用卡资料泄密,则与普通老百姓的生活密切相关,自然备受关注。
用户资料信息泄密的危害有多大?深圳的张雪女士(化名)谈到这个话题仍然心有余悸。张雪是个淘宝迷,接收快递是家常便饭
。2011年国庆过后,有快递人员给张女士打电话,说有快递包裹送上门,让张女士收一下。当时张女士和丈夫都在上班,家里只有
婆婆一个人。张女士就打电话给婆婆让婆婆开门签收。“开门后,一个自称是快递公司工作人员的人径直闯进房内,婆婆拼命想拦
住也没用,只有大声呼叫。幸亏当时小区保安在附近巡逻,闻声赶来,才将那个人抓住。后来经警察审讯,才知道这个人背后有一
个团伙,专门从快递公司购买用户资料,然后根据用户资料上的信息,要么欺骗用户骗取钱财,要么就趁用户家里人少干脆强行绑
架抢夺。”
南都查询发现,这两年以来,国内多个地方都发生过假冒快递人员上门送货,实施抢劫、杀人、强奸等恶性犯罪的案件,
信息泄露已经严重威胁到人们的生命财产安全。而连锁酒店“开房信息泄露”事件,则因为涉及到很多人的隐私问题,让很多人寝
食难安。这次携程“泄密门”事件引发公众恐慌,则是因为公众担心自己捆绑的信用卡被。
乌云平台携程的漏洞之后,很多携程用户在微信和微博上吐槽,讲述自己信用卡被的惨痛经历。新浪微博实名认证为
“广西易搜科技有限公司C E O”的“严茂军”在微博上爆料称,早在2月25日,他绑定在携程的两张双币种信用卡就被人在境外盗
刷了1万多元人民币,共84笔。“我办了6张信用卡,其中3张与携程绑定,另外3张没有绑定。出问题的交行信用卡和农行信用卡都
是绑定的信用卡。看来携程的漏洞此前一直都存在,只不过这次被乌云了而已。”严茂军告诉南都。
不过,独立电商分析师李成东在接受南都采访时却表示,不应该片面夸大携程“泄密门”对整个互联网行业的负面影响。
“这次的漏洞仅限于支付领域,并且是携程自身的问题,不会引申到整个行业。携程自己已经在做了,竞争对手也不会煽
风点火,毕竟蔓延开来对整个行业都不好。”
链
数据泄露之所以可怕,是因为天上有这只秃鹫在盘旋。不会放过稍纵即逝的机会。
大数据时代,用户数据更是成为各大商家争夺的香饽饽。而获得用户数据“便捷”的方式,无疑就是通过入侵。当然,
对于那些“主动”暴露出来的数据,自然是喜逢甘露,照单全收。
郑阳的工作室,主要贩卖两类数据。一类就是网络上到处都在挂牌销售的所谓的“数据库大全”,包括、保险用
户资料、信用卡用户资料、手机用户资料等等,这类数据需求量大,价格也便宜。广州、深圳、东莞等重点城市超过10 0万的车主
资料,5万个资料起卖。以前一个资料收费要1元,现在5毛、3毛都卖。金山公司安全专家李铁军告诉南都,自互联网诞生之日
起,互联网用户数据的交易就开始了。不少数据经过多次贩卖,其中相当一部分都已经成了无效数据。不过,这并不妨碍有客户继
续花钱购买这些信息。
另一类数据,就是根据客户需求找到的“个性化数据资料”。“有些客户想获取竞争对手的用户资料,或者公司的商业机密,
这就需要通过技术手段进入对方的数据库。大公司的网络安全会严格一些,入侵难度较大。中小公司的数据库在我眼里就是裸体。
”郑阳告诉南都。郑阳表示,帮客户找“个性化数据资料”的费用,相对要贵很多,“一般搞定一家中型企业的数据库,会向
客户收几万的费用,这要视客户的具体需求而定,几千块的也有。如果客户要得急,难度又较高,十多万的也有。”
华夏创新的卢德利告诉南都,数据泄露背后的产业链已经十分成熟,大家分工明确,有专门负责盗数据的,有负责贩卖的
。“交易主要集中在论坛、社交网站、网站,就像一个菜市场,明码标价,等着客户上门。”
南都在Q Q上查找“”群,仅广州地区就有7个相应的Q Q群。一位群主告诉,“我们有新的广州,
包括:车主、初登日期、发动机号、车架号等等,资料真实可靠,如果有意可以先发几个样品让你看看。”询问这些
资料的来源,对方以“商业机密”为由拒绝透露。见问得多了,就给回了句“考虑清楚了再联系我”。
余弦告诉南都,地下数据交易异常活跃,主要是需求旺盛。“哪些人会需要这些数据,小的电商?不,任何一个公司都会
想要这些数据,因为这些用户数据拿来了,通过用户属性分析是可以提高生产力和工作效率的,这就是现在大数据时代,每个公司
对数据的大量需求,这种需求本身是好的,但如果靠盗取、买卖数据的话就属于偏门了。”
下一个桶
互联网公司一次又一次的数据泄露事故,不断敲打着广大网民脆弱的神经,不安全感就如同高悬在网民头上的达摩克利斯之剑
,随时都有落下来的可能。而这次的携程“泄密门”,更是让网民切实体验到危险就在身边,恐慌在所难免。
在“中国教父”龚蔚看来,这次携程“泄密门”事件之所以引发网民高度关注,重要的原因,是因为涉及信用卡资金安
全。随着互联网企业与金融业联系日益紧密,特别是这两年互联网金融大行其道,互联网公司的用户信息资料往往直接与用户的资
金安全相连,使得网民对互联网公司的信息安全有着更高的要求。
相对于客户信息资料这些“间接资产”,客户支付宝、余额宝等等账户里的现金,对而言诱惑力自然更大。这也是为什么
钓鱼网站、短信欺诈长盛不衰的原因所在。互联网金融高速发展,但相关的安全防护却与传统金融机构不可同日而语。对于互联网
金融来说,便捷和安全是博弈的两方,如何平衡是值得网络公司深思的问题。其实,包括支付宝、财付通在内的网上支付平台,都
会推广绑定的快捷支付功能,这就埋下了巨大的安全隐患。因此,互联网金融很有可能成为下一个数据泄露的“桶”,
而这个桶一旦被点燃,后果几乎不敢想象。
以阿里的余额宝为例,如今的余额宝开户数超过8000万户,规模已经接近5000亿元人民币。如果支付宝、余额宝这样的互联网
金融产品出现安全问题,那将是致命的问题。“现在不少支付宝、余额宝账户里的现金都是几万几十万的,如果这些账户资料被第
三方获取,那风险就太大了。”龚蔚表示,“整个状况还是令人担忧的。这次携程的“泄密门”引发了恐慌,影响很大。不过反过
来这种大反应也是好的,对一些互联网安全,第三方支付的企业敲响了警钟,更督促企业在安全方面的投入会更重视。”
监管层显然也意识到问题的严重性。早在今年初举办的2014年中国互联网金融高层论坛上,中国银监会副郭利根就明确要
求,互联网金融要牢牢守住信息安全底线,增强互联网金融的风险抵御能力,真正促进互联网金融行业健康发展。郭利根的话音刚
落不久,携程就出事,加强互联网金融安全监管的呼声日高,互联网金融产业压力陡增。可以预见的是,未来互联网安全将会上升
到一个前所未有的高度。
风控小失误致客户资料网上“裸奔”
中国电子商务研究中心发布新研究报告指出,携程发生信息泄露原因如下:根本原因一:违反银联规定本地保存
。携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。而根据《银联卡收单机构账
户信息安全管理标准》中明令禁止本地保存;根本原因二:服务器安全配臵不严格。携程用于保存支付日志的服务器未
做较严格的基线安全配臵,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意读取。
显然,条原因说明携程为了达到自己的商业目的;而第二条原因则更说明携程在内部风控上缺乏严格的机制,工作人员的
小小失误,就让客户资料在网络上“裸奔”。“并没有入侵,携程这次泄露事故,更多是管理层面的原因而不是技术层面的问
题。”IT评论员贾敬华分析指出。
中国数据拥有丰富的带宽资源,全国主要服务商均访问速度均衡,包括教育网在内的国内各大运营商实现多路互连。
数据大厦核心网络采用多线光纤接入,中国联通、中国电信线路出口带宽达到40G,教育网、中国移动、中国铁通线路带宽达到
10G。各线路均有冗余备份,无单线路故障。核心交换层采用H3C的高端产品,汇聚层交换设备采用华为系列产品,核心层与汇聚层
间采用万兆光纤连接。
网络控制中心可根据用户需求,对网络路由进行灵活设置,提供与特定计算机系统、外部的特定数据中心、网点的专网连接。
各客户之间的网络物理隔离,确保数据传输和网络通讯安全可靠。让用户享用高速接入、高性价比、扩展升级方便、易于维护管理
的产品及服务的同时,更放心、更安心。
详情可咨询——中国数据 小陶
直线:025-86883420-8026
手机:15298376052
Q Q:2329088640
网站:www.zgs***