公共wifi安全问题的争论刚过去不久,购物安全的问题又来了。
近日,有消息称上百人在京东网购后遭诈骗,他们准备起诉京东泄露信息。据称,近半年来,陆陆续续有上百名用户在京东购物后遭受到诈骗情况,涉案金额已达数百万元。这100多名受骗者自发组建了维权qq群,并将案件集中委托给北京某律师全权代理,目前或将启动起诉程序,将京东告上法庭。
乍一看这件事情,是很让人震惊的。毕竟网络购物已经渐渐成为我们生活消费的主要途径,安全问题绝对不容小觑。可是静下来思考,现在,追回被骗损失甚至起诉京东商城固然很重要,但分析被骗的原因同样重要。
那么,购物者究竟是因为什么原因被骗的呢?在笔者看来,应该有这样几个原因:一是京东商城有可能有“内鬼”,二是京东商城的网站可能存在技术上的漏洞,三是购物者安全意识淡薄上了钓鱼网站。
这只是我个人的看法,为了深入分析原因,笔者采访了国内外数家安全软件厂商的几位安全领域的人士,听取了他们的意见。
一位不愿意透露姓名的某安全软件厂商的安全专家认为,“目前看应该不是京东平台数据泄露,如果是平台数据泄露,规模会大的多了。”至于泄漏信息的原因,他认为有可能是两种途径,“一种可能是物流过程泄露,一种可能是钓鱼网站骗取信息。”“购物者可能没意识到登陆的是钓鱼网站,相当于他的所有操作都被骗子掌握。”
对于如何防范钓鱼网站可能带来的诈骗,他以京东商城的防诈骗提示举例:
应该说,这位专家的话有一定道理,因为被骗者是陆陆续续的被骗,不是大面积的被骗。如果是数据泄漏,规模会大得多。但是,更加细致的原因又会有哪些呢?之后,我又采访了瑞星安全专家唐威。
唐威先生解释,因为并没有得到对这次事件进行安全分析的授权,所以他只能从安全角度比较系统的给我分析网站购物时个人数据泄漏的几种可能性。因为是电话采访,所以我将他的主要观点摘录如下。
个人信息泄漏的几种途径,唐威认为有三个。
第一,是技术范畴内的泄漏。1、类似于京东商城的电商网站可能存在漏洞,而漏洞被黑客利用后,黑客盗取了数据。2、与电商合作的某个商铺出现了问题,合作商铺的后台存在漏洞,数据被黑客盗取。
二,是人为因素造成的泄露。1、有可能是电商的内部人向外部泄露了用户信息。2、有可能是电商合作商铺的人泄露了信息。
三,是纯外部原因造成的信息泄漏。目前,我们谈大数据、利用大数据,但黑客也在利用大数据。1、给电商提供服务的服务方泄露了信息。2、目前黑市个人信息买卖肆虐,黑客从黑市购买了个人用户信息。3、通过钓鱼网站,黑客盗取了个人信息。4、也可能是综合性手段,综合利用了前几个手段。比如专卖针对京东、淘宝等购买信息,然后利用病毒或者撞库等手段盗取购物网站的信息。
关于前面那位专家说到的物流过程泄漏信息,我有些不理解,但唐威认为是很有可能的。因为有可能是物流系统被攻破,这种信息泄漏也是实时的,也符合骗子诈骗的时间段。
两位安全专家的观点,应该给我们一些启示,也应该给电商平台一些启示。那么,如果是京东网站方面的原因,他们应该如何补救?经过这次事故,电商们该得到怎样的教训?
接着,我与德国安全软件厂商歌德塔(gdata)的中国区安全专家,继续讨论京东购物者被骗事件这个话题。我向这位专家提出了三个问题:
“第一,您认为骗子是通过什么途径如何得到购物者信息的。第二,如果是京东网站方面的原因,那他们应该如何补救。第三,经过这次事故,电商们该得到怎样的教训。”
关于购物者个人信息的泄漏,她认为这些信息不大可能是京东内部人员以“内鬼”的形式主动向外泄露的。因为京东是一个在目前看蒸蒸日上的企业,内部管理肯定会很严格。所以,主动泄漏不太可能。
对此,笔者反问:“前一段时间京东曾经传出刷单的‘丑闻’,那内部人员泄漏用户信息为什么就没有可能呢?”该专家认为,泄漏信息和刷单不属于同一性质,有很大的不同。
至于为什么购物者的信息会泄漏,他认为有可能是以下几方面的原因。
第一,漏洞的原因。1、有可能是网站的安全漏洞,漏洞出现后,京东在某个环节上没有及时跟进补漏,结果漏洞被外部的黑客利用。而这些信息,有的被窃取利用了;有的,则对窃取他们的黑客没有意义,可能通过地下途径被交易出去,流向了黑市或者其他的黑客。2、有可能是软件漏洞或者插件漏洞。
购物商城经常需要一些软件、插件,他们不可避免的会出现漏洞。但有时候,软件厂商可能已经发布了漏洞补丁,但网站或者用户没有及时打补丁,这就给黑客、别有用心的骗子提供了可乘之机。
第二,用户使用习惯、安全意识的原因。1、用户信息泄漏,不一定是在京东商城泄漏的。用户有可能是在别处使用过同一密码等信息,或者在别的社交网络泄漏过这些信息。2、或者是,他们的用户密码等信息的安全系数比较低,很容易破解,比如生日、12345之类的。3、部分中老年人的安全意识比较差,需要提高。受骗的,估计以中老年人居多,很多中老年人上网购物就是为了图新鲜,没有安全这个概念。
第三,硬件的原因。目前,手机是移动互联网用户的主要上网工具。在手机中,安卓手机占绝大部分。但是,安卓手机的安全隐患不容忽视,经常出现安全漏洞,需要防护。(这里,笔者插了一句,我认为目前国内山寨机、仿造机、以及个别手机厂商的危害更大)山寨机等劣质手机预装的恶意软件、吸费软件,甚至预留的漏洞,都给骗子提供了很多的机会。
对于第二和第三这两个问题,该专家综合在一起进行了回答。
他说,这件事,对京东是个警示,对其他电商平台也是个警示。京东商城以及其他电商在今后,应该提高自己的安全意识,提高网站的安全系数,重新建立网站的安全感观念。提高安全意识的同时,要加强与软件公司尤其是支付、安全软件等公司的合作。像与网银等支付厂商合作,提高技术含量;与专业安全软件厂商合作,多向他们咨询,提高网站的安全指数。
同时,电商应该多给用户提供安全提示,比如短信、安全见面会、培训会等等。她认为,京东这件事,在某种意义上会提升电商的安全意识,也会增强网民的安全意识。像骗子给京东购物者提供的链接,如果稍加仔细的辨认,就能看出是欺诈链接。
所以,经过这件事的教训,广大网民应该学会在互联网中保护自己,用软件保护自己,用安全意识保护自己,用互联网知识保护自己。
听完这位专家的话,笔者有所感触:在互联网社会尤其是移动互联网社会,我们要像在现实生活中那样保护自己,安全软件重要,安全意识更为重要!这,应该是京东购物者被骗事件后我们最大的反思!
作者:姜伯静|来源:idonews专栏