中国IDC圈4月13日报道:公共WiFi安全问题的争论刚过去不久,购物安全的问题又来了。
近日,有消息称上百人在京东网购后遭诈骗,他们准备起诉京东泄露信息。据称,近半年来,陆陆续续有上百名用户在京东购物后遭受到诈骗情况,涉案金额已达数百万元。这100多名受骗者自发组建了维权QQ群,并将案件集中委托给北京某律师全权代理,目前或将启动起诉程序,将京东告上法庭。
乍一看这件事情,是很让人震惊的。毕竟网络购物已经渐渐成为我们生活消费的主要途径,安全问题绝对不容小觑。可是静下来思考,现在,追回被骗损失甚至起诉京东商城固然很重要,但分析被骗的原因同样重要。那么,购物者究竟是因为什么原因被骗的呢?在笔者看来,应该有这样几个原因:一是京东商城有可能有“内鬼”,二是京东商城的网站可能存在技术上的漏洞,三是购物者安全意识淡薄上了钓鱼网站。
这只是我个人的看法,为了深入分析原因,笔者以iDoNews 专栏签约作者的身份采访了国内外数家安全软件厂商的几位安全领域的人士,听取了他们的意见。
一位不愿意透露姓名的某安全软件厂商的安全专家认为,“目前看应该不是京东平台数据泄露,如果是平台数据泄露,规模会大的多了。”至于泄漏信息的原因,他认为有可能是两种途径,“一种可能是物流过程泄露,一种可能是钓鱼网站骗取信息。”“购物者可能没意识到登陆的是钓鱼网站,相当于他的所有操作都被骗子掌握。”
对于如何防范钓鱼网站可能带来的诈骗,他以京东商城的防诈骗提示举例:
应该说,这位专家的话有一定道理,因为被骗者是陆陆续续的被骗,不是大面积的被骗。如果是数据泄漏,规模会大得多。但是,更加细致的原因又会有哪些呢?之后,我又采访了瑞星安全专家唐威。唐威先生解释,因为并没有得到对这次事件进行安全分析的授权,所以他只能从安全角度比较系统的给我分析网站购物时个人数据泄漏的几种可能性。因为是电话采访,所以我将他的主要观点摘录如下。
个人信息泄漏的几种途径,唐威认为有三个。
第一,是技术范畴内的泄漏。1、类似于京东商城的电商网站可能存在漏洞,而漏洞被黑客利用后,黑客盗取了数据。2、与电商合作的某个商铺出现了问题,合作商铺的后台存在漏洞,数据被黑客盗取。
二,是人为因素造成的泄露。1、有可能是电商的内部人向外部泄露了用户信息。2、有可能是电商合作商铺的人泄露了信息。
三,是纯外部原因造成的信息泄漏。目前,我们谈大数据、利用大数据,但黑客也在利用大数据。1、给电商提供服务的服务方泄露了信息。2、目前黑市个人信息买卖肆虐,黑客从黑市购买了个人用户信息。3、通过钓鱼网站,黑客盗取了个人信息。4、也可能是综合性手段,综合利用了前几个手段。比如专卖针对京东、淘宝等购买信息,然后利用病毒或者撞库等手段盗取购物网站的信息。
关于前面那位专家说到的物流过程泄漏信息,我有些不理解,但该专家告诉我,有可能是快递员泄露信息。对此,唐威认为有可能是物流系统被攻破,这种信息泄漏也是实时的,也符合骗子诈骗的时间段。
两位安全专家的观点,应该给我们一些启示,也应该给电商平台一些启示。那么,如果是京东网站方面的原因,他们应该如何补救?经过这次事故,电商们该得到怎样的教训?这几个问题,因为篇幅、整理时间有限以及与国外安全厂商存在时差等问题。