激光喷码机厂家
免费服务热线

Free service

hotline

010-00000000
激光喷码机厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

1400万快递用户隐私裸奔如何为大数据加密

发布时间:2020-03-10 11:06:01 阅读: 来源:激光喷码机厂家

A5交易A5任务 SEO诊断淘宝客 站长团购

1400万用户信息被盗取和售卖,在从业人员看来居然不是新闻。

在快递行业,这类事情已延续了好多年了,没法根治。8月15日,李康神情澹然地对记者表示。李之前经营了一家区域性的快递公司,曾与申通等独立快递公司和电商网站均有合作。在他看来,用户信息被泄漏不足为怪。

快递公司具有的用户信息包括收货和发货双方的姓名、地址、手机号码和快递物品。李康表示,这些信息一般分两种形态存在,一种是保存在快递公司的服务器中,另一种就是面单(快递单)。

不管哪一种方式,都容易被泄漏。李康说。

快递业数据乱象

电商的发展带来快递行业的突飞猛进,也使得快递公司成为继互联网巨头以后具有用户个人真实信息数量最多的角色之一。目前,顺丰已开始利用大数据布局O2O业务,即通过对某个区域的定单结构分析,针对性建店(嘿客)和上架商品。

大数据概念方兴未艾,用户的姓名、手机号码、地址等成为大数据的最基础组成部分。而随着电商、互联网金融的发展,企业在搜集这些用户信息时更加快捷、全面,并对这些数据进行存储和分析,从而实现商业目的。但数据安全却常常成为部份企业忽视的一环。

李康表示,大数据是把双刃剑,用好了可以提高效率,被不法分子利用了,后果则不堪设想,而在目前国内的快递行业中,数据安全遭到的重视其实不足够。

据李康介绍,除申通、中通、圆通、汇通、韵达(以下简称四通1达)温柔丰外,各区域还分散着数万家大大小小的快递公司,并且管理极不规范,而用户信息正是在这张漏洞百出的网络中裸奔。

李康曾以100多万元买断申通某个区域的加盟权,负责该区域的申通发单和收单业务。配送定单时,申通的用户信息会明文同步至李康公司的电脑上,并且这部份数据可以长时间存储。另一方面,定单配送完返回的面单(显示用户信息)也集中在加盟公司中。他称,和电商网站的合作,也是类似的模式,电商的数据和快递公司同享。

李康表示,一些大型快递公司都有规定,面单要定时集中烧毁,电脑中的数据也要定时清算,但在实际操作中,这些规定很难有约束力。比如说,这些数据就存在1台电脑的硬盘里,一个快递员就可以随时调取;面单处理更是一个问题,每一年数万份纸质面单,寄存也是一个问题,有的卖了废品,有的则直接卖给客户。

有的公司也会要求安装防火墙,乃至上线安全系统,但对快递公司而言,这是很大的本钱。由于目前行业平均利润率只有10%左右,各个快递公司也只是象征性地购买一些便宜的防火墙软件,至于互联网公司经常使用的加密技术,大部分快递公司更不会斟酌。

奇虎360网站安全总监赵武在接受21世纪经济报导采访时也表示,快递行业数据安全防护水平普遍较差,体现在网站漏洞多、修复不及时、运维人员安全意识薄弱(使用弱口令)等方面。

而造成这类问题的主要原因是,绝大多数快递公司没有专业安全运维团队,乃至没有对网站做基本的安全防护,有的快递公司网站干脆拜托给外包公司运营。

赵武举例说,这使得网站漏洞长时间得不到修复,例如安全公司屡次预警的Struts2代码履行等高危漏洞,仍有快递公司网站没有进行修复。另外,弱口令问题在快递行业也非常突出,在近日暴光的快递业数据泄漏事件中,犯罪嫌疑人就是利用弱口令进入快递公司网站服务器的管理后台,从而盗取了用户数据库。

落后的安全技术配置,和不规范的管理制度,使得快递行业成为近几年用户信息泄漏的重灾区,线上极容易被黑客攻破。今年3月份,杭州1名大学

生仅仅是在做网络安全测试时,即攻破了一家快递公司的网站。

李康表示,数据买家一般是一些网店店主,也有部份做零售的大企业,他们拿到这部份数据后主要用于营销。对买家而言,两三角钱一份面单的价格可以接受,快递公司也顺便废物利用,增加收入。

大数据之忧

赵武对记者表示,根据360网站安全检测平台的统计,除快递行业,国内医疗卫生、教育培训、旅游酒店、生活房产、人材招聘等行业的网络安全问题也特别严重,这些行业网站存在漏洞和被植入后门的比例都相对较高,而且也是黑客重点攻击的目标。

由于上述行业的用户数据触及大量个人隐私信息,例如健康状况、个人简历、联系信息、出行记录等,一旦被黑客攻击,数据泄漏的危害完全不亚于快递数据泄漏事件,而此前暴光的2000万条酒店开房记录已敲响了警钟。就在不久前,某市医疗保健网站被白帽子发现高危漏洞,触及150万孕产妇的信息在网上裸奔,此类数据都可能随时被黑客盗取。

一边是数据的不断集中,大数据运用逐渐落地;一边则是愈来愈多的数据泄漏案件。来谊金融科技CTO侯煜东接受21世纪经济报导记者采访时表示,主要还是从技术和管理制度两方面进行预防。

侯煜东表示,目前数据可以简单分为金融数据、隐私数据和商业数据,一般金融数据的安全问题比较受关注,比如银行和第三方支付公司,近两年都在技术和管理制度方面比较成熟;而隐私数据由于没有直接涉及到用户的资产安全,因此关注度较低;商业数据则多针对B端,行业内人比较关注。

来谊金融科技高龙飞表示,对隐私数据而言,目前国内还未有典型案例。用户通过各种账号登录互联网,有多个环节会留下痕迹。首先通过浏览器登录时,缓存如果没有及时清除,黑客很容易便可攻破而获得数据;然后数据传输时,如果不加密,信息一样会被拦截;最后一步存储,很多企业均是明文(不加密)存储,只要黑客攻破,很容易获得数据。另一方面,即便加密存储,黑客一旦获得权限人的信息,一样可以获得数据。

高龙飞称,目前国内的大部分企业仍然是传统的安全管理办法,技术上通过防火墙、加密等技术预防,同时以金字塔结构设置权限,通过管理制度进行防范,并且在网络环境和物理环境上都对大数据业务进行隔离。

便捷性和安全性这对矛盾会一直延续下去。但在某些信息方面,的确已有相关规定,制止网站记录用户信息。高龙飞举例说,银联对信用卡的网络支付有规定,网站制止记录用户的信用卡密码、有效期和CVV码(信用卡验证码)。但这类制止记录的做法是不是能推行至全部行业很难说,比如在电商领域,制止平台方记录用户的消费轨迹,必然会引发平台方的反弹。

本报记者 滑明飞 上海报导 (文中李康为化名)

中国人民财产保险股份有限公司重庆市分公司

珠海华以农业科技有限公司

中国珠宝首饰进出口股份有限公司

中山东舜灯饰有限公司