大数据概念方兴未艾,用户的姓名、手机号码、地址等成为大数据的最基础组成部分。而随着电商、互联网金融的发展,企业在收集这些用户信息时更加快捷、全面,并对这些数据进行存储和分析,从而实现商业目的。但数据安全却常常成为部分企业忽视的一环。
由于电商的发展带来快递行业的突飞猛进,这使得快递公司成为继互联网巨头之后拥有用户个人真实信息数量最多的角色之一。然而在目前国内的快递行业中,显然数据安全受到的重视并不足够。
大数据是把双刃剑,用好了可以提高效率,若被不法分子利用了,后果则不堪设想……
快递业“乱象丛生”
纵观现今快递行业,除了 “四通一达”和顺丰外,各区域还分散着数万家大大小小的快递公司,这些公司的管理极不规范,用户信息正是在这张漏洞百出的网络中“裸奔”。
据了解,在配送订单时,用户信息会明文同步至公司的电脑上,并且这部分数据可以长时间存储。另一方面,订单配送完返回的面单(显示用户信息)也集中在加盟公司中。和电商网站的合作,也是类似的模式,电商的数据和快递公司共享。
其实一些大型快递公司都有规定,面单要定时集中销毁,电脑中的数据也要定时清理,但在实际操作中,这些规定很难有约束力。比如说,这些数据就存在一台电脑的硬盘里,一个快递员就可以随时调取。
在快递单处理方面也存在问题,因每年数万份纸质快递单不易存放,有的做废纸卖,有的更甚是直接卖给“客户”,他们主要是卖给一些网店店主,或是部分做零售的大企业,店主和企业拿到这部分数据后用于营销,对于他们而言,两三角钱一份面单的价格可以接受。而快递公司也顺便“废物”利用,增加收入。
有的公司也会要求安装防火墙,甚至上线安全系统,但对于快递公司而言,这是很大的成本。由于目前行业平均利润率只有10%左右,各个快递公司也只是象征性地购买一些便宜的防火墙软件,至于互联网公司常用的数据防泄露技术,大部分快递公司更不会考虑。
在快递行业数据安全防护水平普遍较差,如网站漏洞多、修复不及时、运维人员安全意识薄弱(使用弱口令)等方面。而造成这种问题的主要原因是:因绝大多数快递公司没有专业安全运维团队,甚至没有对网站做基本的安全防护,有的快递公司网站干脆委托给外包公司运营。
这使得网站漏洞长期得不到修复,例如安全公司多次预警的Struts2代码执行等高危漏洞,仍有快递公司网站没有进行修复。此外,弱口令问题在快递行业也非常突出,在近日曝光的快递业数据泄露事件中,犯罪嫌疑人就是利用弱口令进入快递公司网站服务器的管理后台,从而窃取了用户数据库。
落后的安全技术配置,以及不规范的管理制度,使得快递行业成为近几年用户信息泄露的重灾区,线上极容易被黑客攻破。
“大数据”之忧
根据统计表示,除了快递行业,国内医疗卫生、教育培训、旅游酒店、生活房产、人才招聘等行业的网络安全问题也尤其严重,这些行业网站存在漏洞和被植入后门的比例都相对较高,而且也是黑客重点攻击的目标。
由于上述行业的用户数据涉及大量个人隐私信息,例如健康状况、个人简历、联络信息、出行记录等,一旦被黑客攻击,数据泄露的危害完全不亚于快递数据泄露事件,而此前曝光的2000万条酒店开房记录已经敲响了警钟。就在不久前,某市医疗保健网站被白帽子发现高危漏洞,涉及150万孕产妇的信息在网上裸奔,此类数据都可能随时被黑客窃取。
用户通过各种账号登录互联网,有多个环节会留下痕迹,而给黑客提供便捷入口。首先通过浏览器登录时,缓存如果没有及时清除,黑客很容易便可攻破而获取数据;然后数据传输时,如果不加密,信息同样会被拦截;最后一步存储,很多企业均是明文(不加密)存储,只要黑客攻破,很容易获取数据。
国内的大部分企业依然是用传统的网络安全管理办法:技术上通过防火墙、加密等技术预防,同时以金字塔结构设置权限,通过管理制度进行防范,并且在网络环境和物理环境上都对大数据业务进行隔离。
便捷性和安全性这对矛盾会一直持续下去。但在某些信息方面,的确已经有相关规定,禁止网站记录用户信息。如,银联对于信用卡的网络支付有规定, 网站禁止记录用户的信用卡密码、有效期和CVV码(信用卡验证码)。但这种禁止记录的做法是否能推广至整个行业很难说,比如在电商领域,禁止平台方记录用 户的消费轨迹,必然会引起平台方的反弹。
一边是数据的不断集中,大数据应用逐步落地;一边则是越来越多的数据泄露案件。所以想要从根本上解决此问题,在个人防护意识、网络安全防护技术和行业管理制度上面还亟待提高。
来源:比特网 作者:卡饭论坛