支付宝数据泄密事故暴露电商安全管理短板
作者:星期三, 一月 8, 20140

国内数据泄漏

近日支付宝爆出重大用户泄露数据事故,据经济观察报报道,阿里巴巴旗下支付宝的前技术员工李明利用工作之便,在2010年分多次在公司后台下载了支付宝用户的资料,资料内容超20G。李明伙同两位同伙,随后将用户信息多次出售予电商公司、数据公司(据李明等供述,支付宝用户的最大买家系服装类电商公司凡客诚品,其花重金从李明团伙手中购得支付宝用户资料1000万条。)。

支付宝是中国最大的第三方支付平台,占到了61%的第三方交易市场份额。与2013-2014年全球重大用户泄漏事故相比,支付宝用户数据泄露事故并非黑客攻击,而是内部人员利用安全管理漏洞作案,凸显了目前电商网站的信息安全管理水平的严重滞后,据经济观察报报道,阿里巴巴一位内部知情人士透露称,在阿里巴巴旗下诸公司内,员工等级不同,权限也不同,像李明这样大量下载用户资料为什么没有第一时间被监控到,直到3年后才被公司发现继而报案,他本人表示很难理解。“不得不承认,我们在管理上出了一些问题。”

另外一点值得注意的是,阿里巴巴方面声称该员工盗取的信息是 2010年前不含密码、不含核心交易数据的非敏感信息,“我们一直以来对于敏感数据如身份证信息、卡号、密码等全部采用先进加密技术处理,无论是在该事件 之前还是之后,任何人都无法获取。”(编者按:阿里巴巴所指的先进加密技术是盐化哈希加密,在哈希算法之前为密码添加一部分额外的随机数据。)

但此次数据泄漏事故的严重性也许远远超出阿里巴巴官方对泄露数据“属于非敏感信息”的定义。一位靠近支付宝的知情人士向南都记者透露,泄露的信息包括“公民个人的实名、手机、电子邮箱、家庭住址、消费记录等”。  这些显然都是最为敏感的隐私数据,不但极大损害了消费者的隐私权,而且还为鱼叉式钓鱼攻击等网络犯罪活动大开方便之门,对中国社会本就脆弱的个人隐私和电商信誉造成双重打击。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章