數(shù)據(jù)泄露一直都是互聯(lián)網(wǎng)企業(yè)難以言說(shuō)的痛，在“3·15”國(guó)際消費(fèi)者權(quán)益保護(hù)日腳步的臨近之際，葫蘆娃與大家一起回顧這些用戶信息泄漏的典型案件。

近日，公安部破獲了一起盜賣公民信息的特大案件，被竊取和盜賣的公民信息多達(dá)50億條。經(jīng)公安部調(diào)查，京東網(wǎng)絡(luò)安全部前試用期員工鄭某鵬，長(zhǎng)期監(jiān)守自盜，與黑客相互勾結(jié)，為黑客攻入網(wǎng)站提供重要信息——包括在京東、QQ上的物流信息，交易信息、個(gè)人身份等數(shù)據(jù)信息，為犯罪團(tuán)伙實(shí)施違法犯罪活動(dòng)提供了有力的技術(shù)保障。

從雅虎2億用戶數(shù)據(jù)泄露，再到前段時(shí)間，借貸寶10G裸貸照片和視頻壓縮包在網(wǎng)上的廣泛流傳，再到京東的12G數(shù)據(jù)泄露。一樁樁一件件，無(wú)不都顯示著在當(dāng)前大數(shù)據(jù)時(shí)代下每個(gè)人都在裸奔的普遍常態(tài)。

據(jù)國(guó)內(nèi)知名電商用戶投訴維權(quán)第三方平臺(tái)，近年來(lái)接到的用戶投訴以及對(duì)監(jiān)測(cè)發(fā)現(xiàn)：不少大型互聯(lián)網(wǎng)公司平臺(tái)公司存在重大內(nèi)部管理漏洞，其內(nèi)部人員故意泄露、販賣網(wǎng)站用戶個(gè)人信息資料，侵犯網(wǎng)絡(luò)交易用戶的信息隱私權(quán)。下面盤點(diǎn)近年來(lái)行業(yè)內(nèi)出現(xiàn)的11起典型用戶信息安全事件如下：

事件一：5173中國(guó)網(wǎng)絡(luò)服務(wù)網(wǎng)數(shù)次被“盜錢”。

2010年1月20日，涉嫌盜竊罪的李豪被蘭溪市檢察院批準(zhǔn)逮捕。經(jīng)查，李豪前后一共盜取了100多個(gè)5173網(wǎng)站的賬號(hào)，共獲得贓款12萬(wàn)余元人民幣。不法分子先在網(wǎng)上找尋有出售游戲幣和游戲裝備信息的5173網(wǎng)絡(luò)賬號(hào)，通過(guò)簡(jiǎn)單交易獲知信息，再推算出網(wǎng)絡(luò)賬號(hào)密碼，從而實(shí)施網(wǎng)上盜竊。

事件二：當(dāng)當(dāng)網(wǎng)賬戶遭盜刷。

2012年3月，當(dāng)當(dāng)網(wǎng)賬戶集體被盜，余額被用于購(gòu)買電子產(chǎn)品、金銀首飾等大額商品。當(dāng)年6月13日，網(wǎng)名為“我是那個(gè)向日葵”的微博用戶發(fā)布微博稱，其購(gòu)進(jìn)的10張面值500元"當(dāng)當(dāng)網(wǎng)禮品卡"，被盜充。2014年3月，當(dāng)當(dāng)網(wǎng)113位用戶賬戶余額被盜用，損失金額超過(guò)6萬(wàn)元。而當(dāng)當(dāng)網(wǎng)對(duì)于用戶賬戶被盜第一時(shí)間均是撇清關(guān)系，在輿論壓力下才給以補(bǔ)償。

事件三：“1號(hào)店”員工內(nèi)外勾結(jié)泄露客戶信息。

2012年5月底，微博用戶挨踢客爆料1號(hào)店員工內(nèi)外勾結(jié)泄露客戶信息，90萬(wàn)的用戶信息竟被以500元的價(jià)格叫賣。部分消費(fèi)者不久后就遇到了賬戶余額被盜、電話詐騙等問題。之后1號(hào)店凍結(jié)用戶賬戶。1號(hào)店副總裁劉彤回應(yīng)：1號(hào)店在案發(fā)后已進(jìn)行了內(nèi)部檢查，對(duì)系統(tǒng)、流程、權(quán)限進(jìn)行了清理、升級(jí)，以杜絕日后類似事件的發(fā)生。被消費(fèi)者質(zhì)疑“很沒有誠(chéng)意”。直至2013年3月，仍有很多消費(fèi)者稱1號(hào)店對(duì)那次信息泄露事件的處理很不到位，至今仍沒有得到應(yīng)有的補(bǔ)償。

事件四：支付寶漏洞信息泄露。

2013年3月27日晚，網(wǎng)友曝支付寶出現(xiàn)重大漏洞，稱使用谷歌、360搜索則可以搜索出大量的支付寶交易記錄，包括付款賬戶、收款賬戶、姓名、日期，甚至郵箱和手機(jī)號(hào)等，并附帶上了Google搜索的截圖和多個(gè)詳情頁(yè)的截圖。該消息27日被大量轉(zhuǎn)發(fā)后，支付寶官方于27日晚23時(shí)53分在微博中做了回應(yīng)，稱已做處理，這次有付款結(jié)果頁(yè)面被收錄可能是因?yàn)橛袠O少量用戶主動(dòng)將自己付款結(jié)果頁(yè)面分享到公共區(qū)域。該回應(yīng)遭廣大網(wǎng)友質(zhì)疑。對(duì)此，支付寶在回應(yīng)中稱，支付寶生活助手轉(zhuǎn)賬付款結(jié)果頁(yè)面一般用于支付雙方展示支付結(jié)果，不含真實(shí)姓名、密碼等重要信息，支付寶對(duì)這一頁(yè)面鏈接加具了安全保護(hù)，正常情況下任何搜索引擎都無(wú)法抓取。目前已將用戶付款結(jié)果頁(yè)面做部分信息隱藏，進(jìn)一步幫助用戶保護(hù)個(gè)人隱私信息。

事件五：如家、七天開房信息泄密。

2013年10月，如家、七天等連鎖酒店被網(wǎng)曝有多達(dá)2000萬(wàn)條客戶開房信息遭泄露，只需輸入姓名或身份證號(hào)，即可查詢到包括身份證號(hào)、生日、地址、手機(jī)號(hào)、郵箱、公司、登記日期等真實(shí)信息。事發(fā)一周前，國(guó)內(nèi)安全漏洞監(jiān)測(cè)平臺(tái)烏云發(fā)布報(bào)告，稱多家酒店開房記錄被某無(wú)線上網(wǎng)認(rèn)證管理系統(tǒng)供應(yīng)商存儲(chǔ)，并因系統(tǒng)有漏洞而存在泄露隱患。

事件六：騰訊7000多萬(wàn)QQ群遭泄露，隱患危及微信支付。

2013年11月20日，國(guó)內(nèi)安全漏洞監(jiān)測(cè)平臺(tái)烏云公布報(bào)告稱，騰訊QQ群關(guān)系數(shù)據(jù)被泄露，在迅雷快傳很輕易就能找到數(shù)據(jù)下載鏈接。根據(jù)QQ號(hào)，可以查詢到備注姓名、年齡、社交關(guān)系網(wǎng)甚至從業(yè)經(jīng)歷等大量個(gè)人隱私。騰訊方面亦承認(rèn)7000多萬(wàn)QQ群遭泄露。對(duì)此，業(yè)界均擔(dān)憂泄露事件將直接牽連微信安全問題?！昂诳鸵坏┱莆樟薗Q號(hào)碼和銀行卡號(hào)，就能注冊(cè)微信并使用微信支付，盜取用戶資金幾乎是輕而易舉的事情?！?/span>

事件七：攜程技術(shù)漏洞導(dǎo)致用戶個(gè)人信息、銀行卡信息等泄露。

早在2009年之前，攜程信息安全漏洞就已經(jīng)多次被用戶質(zhì)疑，但均未引起公司足夠重視。2014年 1 月攜程再次被媒體指出儲(chǔ)存信用卡敏感信息存在泄露風(fēng)險(xiǎn)，攜程網(wǎng)回應(yīng)采用的信用卡支付方式符合國(guó)際慣例，對(duì)自身的信息安全問題再次選擇忽視。2014年3月22日下午18:18分，烏云漏洞平臺(tái)發(fā)布消息稱，攜程系統(tǒng)存技術(shù)漏洞，可導(dǎo)致用戶個(gè)人信息、銀行卡信息等泄露。漏洞泄露的信息包括用戶的姓名、身份證號(hào)碼、銀行卡類別、銀行卡卡號(hào)、銀行卡CVV碼(即卡號(hào)、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)以及銀行卡6位Bin(用于支付的6位數(shù)字)，上述信息有可能被黑客所讀取。

事件八、快遞單販賣成“灰色產(chǎn)業(yè)鏈”。

快遞單成為又一信息泄露途徑，“淘單114”、“淘單網(wǎng)”、“淘單8”、“單號(hào)網(wǎng)”等網(wǎng)站明碼標(biāo)價(jià)出售快遞單號(hào)，0.5元就可買到一份快遞信息，快遞單號(hào)販賣儼然已經(jīng)成為一條灰色產(chǎn)業(yè)鏈。而數(shù)量龐大的淘寶賣家成為快遞單號(hào)的重要來(lái)源之一，目前有近90%的淘寶賣家都在刷單，用真實(shí)的快遞單號(hào)“炮制”出逼真的虛假交。

事件九：小米“泄密門”800萬(wàn)用戶信息泄露。

2014年5月13日晚間，安全平臺(tái)烏云發(fā)布了一個(gè)重大的安全漏洞信息，小米論壇被脫褲，約有800萬(wàn)小米社區(qū)用戶數(shù)據(jù)泄漏，或?qū)⒂绊懶∶滓苿?dòng)云等敏感信息。隨后有用戶收到了詐騙電話，電話源頭能提供用戶的準(zhǔn)確信息，姓名、地址、電話、商品購(gòu)買記錄、密碼、郵箱、注冊(cè)IP等信息等等，以貨到付款的方式進(jìn)行產(chǎn)品推銷及其他詐騙行為。

事件十：13萬(wàn)12306用戶信息外泄事件。

2014年12月25日上午，漏洞報(bào)告平臺(tái)烏云網(wǎng)出現(xiàn)了一則關(guān)于中國(guó)鐵路購(gòu)票網(wǎng)站12306的漏洞報(bào)告，危害等級(jí)顯示為“高”，漏洞類型則是“用戶資料大量泄漏”。這意味著，這個(gè)漏洞將有可能導(dǎo)致所有注冊(cè)了12306用戶的賬號(hào)、明文密碼、身份證、郵箱等敏感信息泄露。后犯罪嫌疑人蔣某某、施某某被抓獲。經(jīng)過(guò)警方初步審查，兩人交代是通過(guò)收集互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個(gè)網(wǎng)站泄露的用戶名加密碼信息，嘗試登錄其他網(wǎng)站進(jìn)行“撞庫(kù)”，非法獲取用戶的其他信息，并牟取非法利益。

事件十一：攜程“癱瘓門”。

2015年5月28日11時(shí)許，攜程網(wǎng)癱瘓，網(wǎng)頁(yè)版和手機(jī)APP均不能正常使用，攜程網(wǎng)回復(fù)稱是服務(wù)器遭到不明攻擊所致，正在緊急恢復(fù)。5月28日下午，攜程官網(wǎng)在首頁(yè)頂部掛出“攜程網(wǎng)站暫時(shí)無(wú)法提供服務(wù)，正在緊急修復(fù)中，您可以訪問：藝龍旅行網(wǎng)”的通知。5月28日17點(diǎn)開始，藝龍旅行首頁(yè)網(wǎng)也無(wú)法正常訪問，半小時(shí)后才恢復(fù)正常。對(duì)于事故原因，網(wǎng)上在攜程癱瘓事件發(fā)生不久之后，出現(xiàn)了內(nèi)部員工離職報(bào)復(fù)、數(shù)據(jù)庫(kù)被物理刪除等傳言。5月28日22時(shí)45分，攜程官方表示，經(jīng)技術(shù)人員搶修，除個(gè)別業(yè)務(wù)外，攜程官方網(wǎng)站及APP恢復(fù)正常，經(jīng)過(guò)排查，數(shù)據(jù)沒有丟失，預(yù)訂數(shù)據(jù)也保存完整。5月29日1時(shí)30分，攜程官方表示，經(jīng)技術(shù)排查，確認(rèn)此次事件是由于員工錯(cuò)誤操作導(dǎo)致，由于涉及的業(yè)務(wù)、應(yīng)用及服務(wù)繁多，驗(yàn)證應(yīng)用與服務(wù)之間的功能是否正常運(yùn)營(yíng)，花了較長(zhǎng)事件，攜程官網(wǎng)及APP已與28日23時(shí)29分全面恢復(fù)正常。

究竟誰(shuí)該為用戶數(shù)據(jù)安全負(fù)責(zé)？

《消費(fèi)者權(quán)益保護(hù)法》的規(guī)定，經(jīng)營(yíng)者及其工作人員對(duì)收集的消費(fèi)者個(gè)人信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供。經(jīng)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止消費(fèi)者個(gè)人信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施。另外，《網(wǎng)絡(luò)交易管理辦法》也有相同的規(guī)定。如果由于經(jīng)營(yíng)者的過(guò)失，導(dǎo)致消費(fèi)者經(jīng)濟(jì)損失的，理應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任。

按照現(xiàn)行法律，如果用戶信息泄露，企業(yè)是需要承擔(dān)一定的賠償責(zé)任的，因?yàn)楣九c用戶之間具備合同關(guān)系，有保障用戶信息安全的義務(wù)。如果本次事故是內(nèi)部人員所為，說(shuō)明公司內(nèi)部存在管理問題，沒有盡到安全管理責(zé)任，應(yīng)承擔(dān)相應(yīng)的民事責(zé)任，賠償用戶損失。如果本次事故是外部攻擊造成，需要具體分析公司方面是否有采取基本的技術(shù)措施保障信息的安全，再來(lái)判定公司是否存在過(guò)錯(cuò)。

用戶信息泄露不僅存在于個(gè)別計(jì)價(jià)平臺(tái)，幾乎是當(dāng)下各行業(yè)的一大“通病”，而信息泄露中受害最大的是處于被動(dòng)的消費(fèi)者。要在購(gòu)物過(guò)程中避免信息泄露，需要消費(fèi)者、電商平臺(tái)和相關(guān)部門的共同努力。全國(guó)首部《電子商務(wù)法(草案)》中，加大對(duì)信息安全的保護(hù)力度，明確包括第三方電商平臺(tái)、平臺(tái)內(nèi)經(jīng)營(yíng)者、支付服務(wù)提供者、快遞物流服務(wù)提供者等在內(nèi)的信息安全保護(hù)責(zé)任主體。提出對(duì)未履行保護(hù)義務(wù)的，最高處50萬(wàn)元罰款并吊銷執(zhí)照；構(gòu)成犯罪的，追究刑事責(zé)任。此外，根據(jù)刑法第二百五十三條：“國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國(guó)家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。

那么，如何防止個(gè)人信息被泄露呢？

第一，網(wǎng)站用戶信息泄露有多種可能性途徑?，F(xiàn)在許多APP、網(wǎng)站、公眾號(hào)、小程序都需要用戶注冊(cè)賬號(hào)后才能正常使用。因此，每個(gè)網(wǎng)民擁有多個(gè)賬號(hào)是很平常的事情。在注冊(cè)時(shí)，網(wǎng)站一般都需要填寫一些個(gè)人信息，如常見的賬號(hào)、密碼、郵箱等，像一些電子商務(wù)、婚戀、交友網(wǎng)站等還需要實(shí)名認(rèn)證，要求填寫的信息更加詳細(xì)。平臺(tái)上的用戶數(shù)據(jù)泄露主要有以下幾種方式：黑客利用平臺(tái)存在的安全漏洞入侵網(wǎng)站，盜取用戶數(shù)據(jù)庫(kù)；網(wǎng)站內(nèi)部工作人員倒賣用戶信息；通過(guò)撞庫(kù)攻擊，竊取用戶數(shù)據(jù)；利用釣魚攻擊竊取用戶信息；通過(guò)木馬、病毒竊取用戶隱私信息。

第二，法律條文需細(xì)化，相關(guān)部門應(yīng)適時(shí)介入。我國(guó)關(guān)于網(wǎng)絡(luò)信息安全方面的法律條文不夠明確，適用范圍尚且不夠精準(zhǔn)，相關(guān)條文必須得到進(jìn)一步細(xì)化、規(guī)范，以此更加公平公正地懲治網(wǎng)絡(luò)信息安全事故的造成者，保護(hù)公民切身利益。此類信息泄露事件不適用“不告不處理的”的原則，相反，執(zhí)法部門應(yīng)主動(dòng)積極介入案件調(diào)查，并對(duì)實(shí)施者進(jìn)行追責(zé)處理。

第三，信息安全無(wú)小事，用戶必須增強(qiáng)信息保護(hù)意識(shí)。警惕要求重新輸入賬號(hào)信息，否則將停掉信用卡賬號(hào)之類的郵件，不要回復(fù)或者點(diǎn)擊郵件的鏈接，以免落入圈套。同時(shí)，避免開啟來(lái)路不明的電子郵件及文件，安裝殺毒軟件并及時(shí)升級(jí)病毒知識(shí)庫(kù)和操作系統(tǒng)補(bǔ)丁，將敏感信息輸入隱私保護(hù)，打開個(gè)人防火墻。網(wǎng)絡(luò)銀行時(shí)，選擇使用網(wǎng)絡(luò)憑證及約定賬戶方式進(jìn)行轉(zhuǎn)賬交易，不要在網(wǎng)吧、公用計(jì)算機(jī)上和不明的地下網(wǎng)站做在線交易或轉(zhuǎn)賬。不要在多個(gè)網(wǎng)站使用相同的注冊(cè)賬戶名以及登錄密碼，防止網(wǎng)絡(luò)黑客有意盜取，造成多個(gè)網(wǎng)站個(gè)人信息的連環(huán)失竊。

第四，要求網(wǎng)站平臺(tái)收集和使用用戶信息應(yīng)當(dāng)遵循“合法、正當(dāng)、必要”三原則。對(duì)收集到的用戶信息應(yīng)當(dāng)采取安全保護(hù)措施，一旦發(fā)生泄密，必須及時(shí)采取補(bǔ)救措施，否則都可能面臨行政處罰或者用戶的訴訟。

重中之重部署—SSL加密證書

防止信息泄露，要提前準(zhǔn)備，防患于未然，網(wǎng)站上安裝SSL證書，對(duì)瀏覽器傳輸?shù)骄W(wǎng)站服務(wù)器的數(shù)據(jù)進(jìn)行加密，確保數(shù)據(jù)不會(huì)被竊聽者攔截，認(rèn)證網(wǎng)站服務(wù)器的真實(shí)身份，讓用戶確信敏感信息（支付卡信息或其他數(shù)據(jù)等）正發(fā)送到正確的服務(wù)器，而不是欺詐者或數(shù)據(jù)竊取者的服務(wù)器。詳情請(qǐng)查看：//www.huluwa.cc/zt/renzheng/