最近一段時(shí)間,多起電信詐騙案成為社會(huì)關(guān)注的焦點(diǎn)。由于多名即將升入大學(xué)的大學(xué)生因?yàn)殡娦旁p騙被騙光學(xué)費(fèi)而離世,引發(fā)巨大的社會(huì)輿論。這一方面反映出當(dāng)前個(gè)人用戶信息泄露問(wèn)題已經(jīng)非常嚴(yán)重,另一方面更凸顯出掌握用戶信息部門在管理上存在漏洞。
山東徐玉玉電信詐騙案終于在近日成功告破。很多媒體也都對(duì)電信詐騙背后的黑色產(chǎn)業(yè)鏈進(jìn)行了密集式的調(diào)查和曝光,然而,還是有很多電信詐騙案仍然在全國(guó)發(fā)生著。在這些電信詐騙案中,騙子們的手中不僅有個(gè)人用戶的電話號(hào)碼,有的甚至還有銀行卡信息、近期網(wǎng)購(gòu)消費(fèi)信息、家庭信息等等個(gè)人信息資料,而這些個(gè)人信息已經(jīng)成為明碼標(biāo)價(jià)的商品被公開銷售。
理論上講,個(gè)人信息應(yīng)該安全地躺在企業(yè)、有關(guān)公共服務(wù)部門的數(shù)據(jù)庫(kù)當(dāng)中。但不幸的是,個(gè)人信息已經(jīng)通過(guò)各種渠道被泄露。在獵豹移動(dòng)安全專家李鐵軍看來(lái),你可以默認(rèn)自己的信息已經(jīng)被泄露。
個(gè)人信息可默認(rèn)已被泄露
“你可以默認(rèn)自己的信息已經(jīng)被泄露。包括身份證、銀行卡、手機(jī)號(hào)、郵箱等關(guān)鍵信息,都可以默認(rèn)已經(jīng)在攻擊者的數(shù)據(jù)庫(kù)中。”李鐵軍在接受《中國(guó)經(jīng)營(yíng)報(bào)》記者采訪時(shí)表示。
一份來(lái)自《騰訊2016年第二季度反電信網(wǎng)絡(luò)詐騙大數(shù)據(jù)報(bào)告》披露的數(shù)據(jù)顯示,2016年第二季度,全國(guó)共接用戶標(biāo)記超4.6億條詐騙電話,收到詐騙短信人數(shù)3億人次,騙子們一個(gè)季度撥出電話18.8億次。根據(jù)中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)在6月份發(fā)布的《2016中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告》顯示,上半年,我國(guó)網(wǎng)民平均每周收到垃圾郵件18.9封、垃圾短信20.6條、騷擾電話21.3個(gè)。可以毫不夸張地說(shuō),幾乎每個(gè)人都曾經(jīng)收到過(guò)垃圾短信、電話,或者是詐騙短信、電話。
個(gè)人信息一般是怎么被泄露出去的?據(jù)介紹,個(gè)人信息的泄露主要包括兩方面的原因,一方面是用戶個(gè)人原因?qū)е滦畔⑿孤叮饕脑蚴且驗(yàn)楣卜?wù)信息出現(xiàn)問(wèn)題,導(dǎo)致大規(guī)模信息泄露。
在互聯(lián)網(wǎng)產(chǎn)生之前,個(gè)人信息數(shù)據(jù)大多是以紙質(zhì)檔案的形式存放在醫(yī)療、教育、衛(wèi)生、住房等公共服務(wù)部門?;ヂ?lián)網(wǎng)時(shí)代的到來(lái),各類數(shù)據(jù)從紙質(zhì)存放轉(zhuǎn)變?yōu)橐詳?shù)據(jù)的形式存放在互聯(lián)網(wǎng)上,與傳統(tǒng)形式相比,互聯(lián)網(wǎng)的形式更為方便、快捷、環(huán)保,但同時(shí)存在更嚴(yán)重的安全隱患。
互聯(lián)網(wǎng)時(shí)代的到來(lái),每個(gè)人的生活似乎都難以離開這張網(wǎng)。“通信、購(gòu)物、住房、社交、出行等等,幾乎現(xiàn)實(shí)生活的方方面面都會(huì)產(chǎn)生信息映射到網(wǎng)絡(luò)空間,另外行政辦事需要填很多個(gè)人信息的表格,這些都可能是泄露個(gè)人信息的渠道。”中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院政策法規(guī)研究所副所長(zhǎng)欒群告訴記者。
那么個(gè)人信息如何從這些渠道被泄露出去?李鐵軍向記者解釋道,一方面是技術(shù)原因,比如信息系統(tǒng)存在安全方面的漏洞,安全漏洞被黑客入侵造成存儲(chǔ)管理的數(shù)據(jù)泄露;另一方面是管理原因,一些掌握個(gè)人信息數(shù)據(jù)的人可能會(huì)販賣這些數(shù)據(jù);此外也存在一些掌握個(gè)人信息數(shù)據(jù)的人,由于信息安全意識(shí)薄弱,無(wú)意識(shí)地泄露他人信息。
另外,一些因?yàn)闅v史原因遺漏下來(lái)的制度,比如助學(xué)金公示制度也在泄露個(gè)人信息。某高校大學(xué)生表示,學(xué)校會(huì)將獲得助學(xué)金學(xué)生的個(gè)人詳細(xì)信息以及家庭信息直接放在校園網(wǎng)站或者貼在學(xué)校公示牌上。
安全運(yùn)維成本高,企業(yè)投入不足
據(jù)媒體報(bào)道,獲取一個(gè)“沒(méi)有賣過(guò)”的一手學(xué)生數(shù)據(jù)只要1~2元/條。而本報(bào)記者采訪了解到,要保護(hù)這樣的個(gè)人信息數(shù)據(jù)每年就需要花費(fèi)上千萬(wàn)元。巨額的安全成本壓力是否是數(shù)據(jù)泄露的重要原因之一呢?
從技術(shù)層面來(lái)看,存放萬(wàn)千用戶個(gè)人信息的數(shù)據(jù)應(yīng)該被安全地存放在有關(guān)部門、相關(guān)企業(yè)的核心數(shù)據(jù)庫(kù)中,并不是一般人就能夠訪問(wèn)、接觸并拷貝的。但從目前個(gè)人信息被大量泄漏的現(xiàn)狀來(lái)看,由于管理者對(duì)信息安全認(rèn)識(shí)不足,不少存放用戶個(gè)人信息的數(shù)據(jù)庫(kù)存在安全漏洞。
李鐵軍告訴記者,一般而言,通過(guò)外部互聯(lián)網(wǎng)環(huán)境能夠直接訪問(wèn)到內(nèi)部數(shù)據(jù),并可以把內(nèi)部數(shù)據(jù)拷貝下來(lái),屬于高危漏洞。“理論上,用戶數(shù)據(jù)存放在內(nèi)部服務(wù)器上,并不允許外部訪問(wèn)。如果系統(tǒng)存在安全漏洞,一些人就可以通過(guò)技術(shù)手段訪問(wèn)到。”
在業(yè)內(nèi)人士看來(lái),系統(tǒng)的安全運(yùn)維成本完全不亞于系統(tǒng)的建立成本。由于黑色產(chǎn)業(yè)鏈發(fā)展非常迅速,他們會(huì)對(duì)系統(tǒng)存在漏洞的薄弱環(huán)節(jié)進(jìn)行攻擊以獲取相關(guān)數(shù)據(jù)信息,而企業(yè)安全維護(hù)則需要修護(hù)漏洞與之對(duì)抗。一位從事國(guó)內(nèi)大型快遞企業(yè)信息平臺(tái)技術(shù)建設(shè)的人士告訴記者:“安全運(yùn)維需要持續(xù)的投入,我們每年在這方面的投入都是幾千萬(wàn)元。”
一個(gè)系統(tǒng)建立好之后,除了日常內(nèi)容運(yùn)營(yíng)的維護(hù)以外,安全維護(hù)是不可分割的一部分。凡是軟件系統(tǒng)都存在有漏洞的可能,并且需要在不斷的運(yùn)營(yíng)當(dāng)中發(fā)現(xiàn)存在一些普通漏洞、高危漏洞并予以修補(bǔ)。
“目前存在的一個(gè)問(wèn)題就是管理人員的安全意識(shí)不足,一些學(xué)校、企業(yè)、事業(yè)單位認(rèn)為買了一些安全軟件以后安全問(wèn)題就解決了,其實(shí)是需要專業(yè)的安全人員對(duì)系統(tǒng)進(jìn)行動(dòng)態(tài)維護(hù)。”李鐵軍說(shuō)道。安全運(yùn)維的金錢和人力成本都非常高。現(xiàn)在一些企業(yè)是自己內(nèi)部有專門的安全運(yùn)維人員,但多數(shù)情況下是外包給第三方公司,而這些外包公司很多在系統(tǒng)建設(shè)上、系統(tǒng)提升上未必有高深的安全方面的能力。“總體而言,目前安全運(yùn)維人才非常短缺。”