NEWS

电商信息平台数据泄露风险有哪些. 2019-10-09


  如今,用户在各大电商网站注册、购物越来越频繁,导致电商领域成为个人信息泄露的主要领域之一。

  那么,在网络购物过程中,用户需要经历商家、电商平台、物流等,最后商品到达用户手中。在这几个环节中都有可能产生订单信息泄露的问题,而哪些具体环节可能泄露用户信息?哪些具体环节信息泄露风险最高?

  首先是商家环节

  商家环节的信息泄露风险主要有五个方面。

  1 .内部倒卖。内部员工倒卖订单数据分为两种情况,一种是内部员工行为,另一种则是黑产打入的行为。先说内部员工行为,一个小型商家对员工的录用,可想而知是个什么情况:不在乎学历,不在乎背景,只要有点经验即可,而且待遇也比较低,员工流动也大,因此面对一些诱惑,很容易去倒卖数据,卖了几批数据后就跑路换个其他公司接着做。还有一种是“黑产”打入,黑产直接派一些人去应聘,然后拿数据,也是干一阵就跑。

  2 .木马病毒。商家的员工有时候会接待一些声称有大订单的人物,订单包括多种需求,所以会需要员工接收订单文件,又或者发给员工一个链接,而木马病毒就在这里了。木马和病毒会潜伏下来监控员工电脑操作,获取订单软件系统信息的账号密码。

  3 .三方工具后门。在线销售会需要一些系统的支撑,比如仓库管理、订单管理、面单打印等,市面上也有各种公司提供这一类软件,这种软件水平也参差不齐。有的直接就是黑产这种人开发的,目的就是窃取订单信息。还有的属于安全能力薄弱,有一些漏洞可以被利用,但是单一的某个软件漏洞还不够可怕,现在很多公司为商家提供一揽子服务,订单系统的服务器都在云上,一旦突破就是一个大群体订单泄露。

  4 .弱口令。所谓弱口令并非是指123456这种,而是由于员工的流动性,离职后密码没有修改造成订单信息被窃取。

  5 .无线与监听问题。很多公司都用的是小型家用无线路由器,这种路由器一是默认密码不修改,二是自身有漏洞。这样黑客就可以采用DNS中间人、网络监听流量等手段获取网络流量信息。这种情况下,改系统密码、上云服务其实都没有用处,但最重要的问题是难以发现。

  其次是用户环节

  用户环节比较突出的是问题:账号被盗、木马病毒、钓鱼、无线。

  1 .账号被盗。目前主要是撞库。撞库这个事情,稍微有点技术实力的电商都会用各种手段来防御,比如设备指纹、IP判定等防扫号。

  2 .木马病毒。主要是手机端的比较突出。2014年下半年,我们发现接近70%的订单信息泄露是手机用户,调研受害用户发现在手机上确实存在安卓远控类软件,但种类十分繁多。建议在APP上增加了一些安全的功能,对其中一些数据做了特殊加密,对启动环境进行了判断。

  3 .钓鱼。伪基站钓鱼是一种。另外是社工类的钓鱼,冒充客服打电话、兼职招聘收集用户信息等,其目的也主要是为了得到账号。

  4 .无线。主要是伪热点收集信息。

  但是,通常用户不会理解这里的四类问题,第一反应就是将责任归于电商平台。会产生投诉,甚者会产生司法纠纷。所以对用户的投诉处理要慎重对待,某些特殊用户可能要先行赔偿,出现危机要有公关处理。

  第三是物流环节

  物流端其实也和商户一样,但是结构上会简单一些。主要风险有两个:1 .内部倒卖。有倒卖系统数据的,但更多的是倒卖物流面单,倒卖物流订单的特点是地域化比较集中,通常是某个门店,所以很容易归类发现。而且主要集中在一些代理加盟的物流点,管理比较松散。

  2 .系统漏洞。关于系统漏洞,几个大的物流公司都有出过问题,攻击者可以直接从系统上捞取物流海量商家和用户信息。

  对物流公司的泄露,一是宣传教育,二是专项打击,配合公安几轮打下来,他们就会引以为鉴。这里有一个判断因子,有些情况下,订单还没有到物流侧,用户就接到了诈骗电话,所以在调查的时候要问清楚。

  最后是电商平台环节

  平台端碰到的问题主要分为两类:内鬼和系统漏洞。但内鬼里面最突出的问题是外包。

  1 .内部员工作案。一个电商的业务系统,能够接触到用户订单的人实在太多,从客服到技术,到数据平台、前端等都有机会接触。内部员工的管控相对比较容易,一个是匿名化处理,所谓匿名化处理,就是对关键用户信息进行匿名或模糊处理,即使员工接触到也无法联系对方,或必须通过系统联系对方。再一个是操作监控,如果要偷拿订单信息,必然是批量化,而不是个别单一订单,从统计上就可以做一些规则预警。还有一个是加强警示教育,一旦发现,从重处理决不姑息。内部员工作案的概率比较低,但一旦出事就是大事,所以这部分能够在自己掌控的地方要处理好。

  2 .外包员工。外包员工的作案大家在媒体上也屡见不鲜,外包的应用系统开发、基础架构的维护、客服是这里需要重点看的问题。安全部门要介入外包管理,从最开始的立项就要保证外包无法接触到敏感数据。对外包除了在立项阶段,还进行现场调研,确定外包公司的环境能够满足企业对安全的要求,并且不定期抽查。

  3 .自身的系统漏洞。一是主要漏洞:防扫号、SQL注入、越权/遍历问题、搜索引擎爬取,对这一类漏洞的防范,就看企业的基本功了,生产新上线的系统有没有经过代码审计、渗透和扫描。主站问题往往都比较重视,但有很多后台支撑系统,各种问题五花八门,当企业做大以后,后台支撑系统出的问题不比主站少,这就要清理回收支撑系统,该放在内网的收到内网,该关的关,该改的改。

 

转自《法人》

产品推荐:   凤凰卫士企业版

产品优势:  凤凰卫士反泄密软件是文档守望者反泄密的扩展和延伸,在文档守望者反泄密软件透明加密、U盘管控、打印控制、程序控制、日志审计、自动备份、外发文件控制等基础功能上,融入了文件的权限管理,使其既能防止文件向外泄密,又能对内部的文件管理做很好的支撑,实现反泄密与内部管理的无缝结合。系统采用PKI体系,能够实现各种复杂而灵活的应用,满足大中型企事业单位的需要。

 

企业内网管理解决方案请点击 -  立即咨询



上一篇:俄罗斯电信公司Beeline曝出数据泄露事故
下一篇:“等保2.0”即将实施 为网络安全筑起更强防火墙