大資料概念方興未艾,使用者的姓名、手機號碼、位址等成為大資料的最基礎組成部分。 而隨著電商、互聯網金融的發展,企業在收集這些使用者資訊時更加快捷、全面,並對這些資料進行存儲和分析,從而實現商業目的。 但資料安全卻常常成為部分企業忽視的一環。 由於電商的發展帶來快遞行業的突飛猛進,這使得快遞公司成為繼互聯網巨頭之後擁有使用者個人真實資訊數量最多的角色之一。 然而在目前國內的快遞行業中,顯然資料安全受到的重視並不足夠。 大資料是把雙刃劍,用好了可以提高效率,若被不法分子利用了,後果則不堪設想......
快遞業「亂象叢生」縱觀現今快遞行業,除了 「四通一達」和順豐外,各區域還分散著數萬家大大小小的快遞公司,這些公司的管理極不規範,使用者資訊正是在這張漏洞百出的網路中「裸奔」。 據瞭解,在配送訂單時,使用者資訊會明文同步至公司的電腦上,並且這部分資料可以長時間存儲。 另一方面,訂單配送完返回的面單(顯示使用者資訊)也集中在加盟公司中。 和電商網站的合作,也是類似的模式,電商的資料和快遞公司共用。 其實一些大型快遞公司都有規定,面單要定時集中銷毀,電腦中的資料也要定時清理,但在實際操作中,這些規定很難有約束力。 比如說,這些資料就存在一台電腦的硬碟裡,一個快遞員就可以隨時調取。 在快遞單處理方面也存在問題,因每年數萬份紙質快遞單不易存放,有的做廢紙賣,有的更甚是直接賣給「客戶」,他們主要是賣給一些網店店主,或是部分做零售的大企業,店主和企業拿到這部分資料後用於行銷,對於他們而言, 兩三角錢一份面單的價格可以接受。 而快遞公司也順便「廢物」利用,增加收入。 有的公司也會要求安裝防火牆,甚至上線安全系統,但對於快遞公司而言,這是很大的成本。 由於目前行業平均獲利率只有10%左右,各個快遞公司也只是象徵性地購買一些便宜的防火牆軟體,至於互聯網公司常用的資料防洩露技術,大部分快遞公司更不會考慮。 在快遞行業資料安全防護水準普遍較差,如網站漏洞多、修復不及時、運維人員安全意識薄弱(使用弱口令)等方面。 而造成這種問題的主要原因是:因絕大多數快遞公司沒有專業安全運維團隊,甚至沒有對網站做基本的安全防護,有的快遞公司網站乾脆委託給外包公司運營。 這使得網站漏洞長期得不到修復,例如安全公司多次預警的Struts2代碼執行等高危漏洞,仍有快遞公司網站沒有進行修復。 此外,弱口令問題在快遞行業也非常突出,在近日曝光的快遞業資料洩露事件中,犯罪嫌疑人就是利用弱口令進入快遞公司網站伺服器的管理後臺,從而竊取了使用者資料庫。 落後的安全技術配置,以及不規範的管理制度,使得快遞行業成為近幾年使用者資訊洩露的重災區,線上極容易被駭客攻破。 「大資料」之憂根據統計表示,除了快遞行業,國內醫療衛生、教育培訓、旅遊酒店、生活房產、人才招聘等行業的網路安全問題也尤其嚴重,這些行業網站存在漏洞和被植入後門的比例都相對較高,而且也是駭客重點攻擊的目標。 由於上述行業的使用者資料涉及大量個人隱私資訊,例如健康情況、個人簡歷、聯絡資訊、出行記錄等,一旦被駭客攻擊,資料洩露的危害完全不亞于快遞資料洩露事件,而此前曝光的2000萬條酒店開房記錄已經敲響了警鐘。 就在不久前,某市醫療保健網站被白帽子發現高危漏洞,涉及150萬孕產婦的資訊在網上裸奔,此類資料都可能隨時被駭客竊取。 使用者通過各種帳號登錄互聯網,有多個環節會留下痕跡,而給駭客提供便捷入口。 首先通過瀏覽器登錄時,緩存如果沒有及時清除,駭客很容易便可攻破而獲取資料;然後資料傳輸時,如果不加密,資訊同樣會被攔截;最後一步存儲,很多企業均是明文(不加密)存儲,只要駭客攻破,很容易獲取資料。 國內的大部分企業依然是用傳統的網路安全管理辦法:技術上通過防火牆、加密等技術預防,同時以金字塔結構設置許可權,通過管理制度進行防範,並且在網路環境和實體環境上都對大資料業務進行隔離。 便捷性和安全性這對矛盾會一直持續下去。 但在某些資訊方面,的確已經有相關規定,禁止網站記錄使用者資訊。 如,銀聯對於信用卡的網路支付有規定, 網站禁止記錄使用者的信用卡密碼、有效期和CVV碼(信用卡驗證碼)。 但這種禁止記錄的做法是否能推廣至整個行業很難說,比如在電商領域,禁止平臺方記錄用 戶的消費軌跡,必然會引起平臺方的反彈。 一邊是資料的不斷集中,大資料應用逐步落地;一邊則是越來越多的資料洩露案件。 所以想要從根本上解決此問題,在個人防護意識、網路安全防護技術和行業管理制度上面還亟待提高。
