新闻想必大家都知道了:根据新浪科技的报道,几天前,公安部网站披露了一起特大窃取出售公民个人信息的案件,抓获嫌疑人96名,查获涉及交通、物流、医疗、社交、银行等各类被窃公民个人信息50多亿条。 比较引人注目的点是,其中一名嫌疑犯是京东网络安全部员工,利用京东网络安全部员工这一身份长期监守自盗,与黑客相互勾结,为黑客攻入网站提供重要信息——包括在京东、QQ上的物流信息,atv,交易信息、个人身份等数据信息。并且,讽刺的是,这起案件是腾讯安全协助侦破的。 于是乎,腾讯帮助京东抓内鬼的段子在整个互联网圈子不胫而走。 一位知名技术大V评价:“前几天公安部破获的 50 亿条用户信息泄露的大案,其中还有京东网络安全部员工郑某鹏监守自盗,协助破案的是腾讯安全部。不知道京东怎么把人招进去的,安全人员入职不做背景调查嘛?这个人辗转多家公司,每家盗完数据就走。” 随后京东集团发布声明澄清,称这是和腾讯联合打击信息安全地下黑色产业链的一次日常行动,涉事的京东员工郑某尚处于试用期,且长期从事倒卖个人信息行为。并且将追究部分媒体不实报道的法律责任。 且不深究为何郑某去年6月入职到现在依然没转正,单在谣言和段子面前,京东公关部的这份声明就显得孱弱和无力,以至于即便亮出了法律的武器,依然有大量不明真相的吃瓜群众议论腹诽。 社会心理学告诉我们,人们会剔除那些无关自身的信息,而对那些有威胁信息本能的提高注意力和警觉,因此,即便现代科技如此发达,传播媒介如此便捷,人们对于地震、疫苗真假新闻依然没有判断力,陷入恐慌的情绪之中难以自拔。这次的京东无间道事件,恐怕又会让一批用户对自己的账号和资金安全产生担忧,转而投向其他的电商平台。 公允地说,虽然京东及时公关和辟谣,但负面的的影响已经造成了,加上之前几次数据泄露事件,公众对于京东的信息安全担忧已经某种程度上已经形成了刻板印象,公关层面已经很难再扭转。 在过去几年,京东花了大力气整顿正品、物流、线下商超包括内部腐败问题,安全成为了最后一道需要攻克的堡垒,但可惜的是,京东的信息安全,似乎并不是那么一路顺风。 冤吗?京东早有前科 事实上, 此次京东的数据泄露事件和内鬼事件并非首例。 去年12月份,根据《一本财经》的报道,一个12G的数据包开始在黑市流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。而黑市买卖双方皆称,这些数据来自京东。 后来随着进一步的调查,原来这些数据皆源于2013年Struts 2的安全漏洞问题,导致大量数据泄露,京东也未能幸免,这也给三年后的数据泄露埋下了隐患。 2015年,3.15前夕,京东被曝出大量用户隐私信息遭到泄露,不少用户因此被骗子骗取了巨款。京东当时的解释称,该部分用户使用相同注册信息(用户名和密码),在其他网站泄漏后被不法分子使用“撞库”的方法进行诈骗。但当时就有很多人质疑,既然是撞库,为何只有京东的用户遭到泄露? 经过一年的调查取证后,真相大白,原来是京东内部出了内鬼——京东三名负责物流的员工通过QQ群联系买家,共出售了9313条客户信息。这三人非法获取的京东商城客户个人信息大约有近3万条。获利近4万元。 买主都有明确的要求——只要已经在京东商城下单付款,但还没有收到货的客户个人信息。 为什么要未收货的用户信息呢?因为这样买主就可以伪装成客服打电话给用户,称系统正在升级,购买的商品无效,需要退款,然后登录骗子给的钓鱼网站链接,输入账号密码后,就会被直接套走卡上的现金。 这也是为什么尽管京东如此严厉的打击内鬼和数据泄漏,依然屡禁不止的原因所在。作为一家上市的电商平台,仍因数据安全和用户隐私遭到用户的诟病和质疑,既反映了京东当下的现实困境,也折射出地下黑产的暗河已经蔓延遍布至整个互联网世界。 看不见的地下黑产 (责任编辑:本港台直播) |