“给我一个机会。”
“怎么给你机会。”
“我以前没得选择,现在我只想做个好人。”
"好啊,跟京东说,看他让你做不做好人。”
新闻想必大家都知道了:根据新浪科技的报道,几天前,公安部网站披露了一起特大窃取出售公民个人信息的案件,抓获嫌疑人96名,查获涉及交通、物流、医疗、社交、银行等各类被窃公民个人信息50多亿条。
比较引人注目的点是,其中一名嫌疑犯是京东网络安全部员工,利用京东网络安全部员工这一身份长期监守自盗,与黑客相互勾结,为黑客攻入网站提供重要信息——包括在京东、QQ上的物流信息,交易信息、个人身份等数据信息。并且,讽刺的是,这起案件是腾讯安全协助侦破的。
于是乎,腾讯帮助京东抓内鬼的段子在整个互联网圈子不胫而走。
一位知名技术大V评价:“前几天公安部破获的 50 亿条用户信息泄露的大案,其中还有京东网络安全部员工郑某鹏监守自盗,协助破案的是腾讯安全部。不知道京东怎么把人招进去的,安全人员入职不做背景调查嘛?这个人辗转多家公司,每家盗完数据就走。”
随后京东集团发布声明澄清,称这是和腾讯联合打击信息安全地下黑色产业链的一次日常行动,涉事的京东员工郑某尚处于试用期,且长期从事倒卖个人信息行为。并且将追究部分媒体不实报道的法律责任。
且不深究为何郑某去年6月入职到现在依然没转正,单在谣言和段子面前,京东公关部的这份声明就显得孱弱和无力,以至于即便亮出了法律的武器,依然有大量不明真相的吃瓜群众议论腹诽。
社会心理学告诉我们,人们会剔除那些无关自身的信息,而对那些有威胁信息本能的提高注意力和警觉,因此,即便现代科技如此发达,传播媒介如此便捷,人们对于地震、疫苗真假新闻依然没有判断力,陷入恐慌的情绪之中难以自拔。这次的京东无间道事件,恐怕又会让一批用户对自己的账号和资金安全产生担忧,转而投向其他的电商平台。
公允地说,虽然京东及时公关和辟谣,但负面的的影响已经造成了,加上之前几次数据泄露事件,公众对于京东的信息安全担忧已经某种程度上已经形成了刻板印象,公关层面已经很难再扭转。
在过去几年,京东花了大力气整顿正品、物流、线下商超包括内部腐败问题,安全成为了最后一道需要攻克的堡垒,但可惜的是,京东的信息安全,似乎并不是那么一路顺风。
冤吗?京东早有前科
事实上, 此次京东的数据泄露事件和内鬼事件并非首例。
去年12月份,根据《一本财经》的报道,一个12G的数据包开始在黑市流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。而黑市买卖双方皆称,这些数据来自京东。
后来随着进一步的调查,原来这些数据皆源于2013年Struts 2的安全漏洞问题,导致大量数据泄露,京东也未能幸免,这也给三年后的数据泄露埋下了隐患。
2015年,3.15前夕,京东被曝出大量用户隐私信息遭到泄露,不少用户因此被骗子骗取了巨款。京东当时的解释称,该部分用户使用相同注册信息(用户名和密码),在其他网站泄漏后被不法分子使用“撞库”的方法进行诈骗。但当时就有很多人质疑,既然是撞库,为何只有京东的用户遭到泄露?
经过一年的调查取证后,真相大白,原来是京东内部出了内鬼——京东三名负责物流的员工通过QQ群联系买家,共出售了9313条客户信息。这三人非法获取的京东商城客户个人信息大约有近3万条。获利近4万元。
买主都有明确的要求——只要已经在京东商城下单付款,但还没有收到货的客户个人信息。
为什么要未收货的用户信息呢?因为这样买主就可以伪装成客服打电话给用户,称系统正在升级,购买的商品无效,需要退款,然后登录骗子给的钓鱼网站链接,输入账号密码后,就会被直接套走卡上的现金。
这也是为什么尽管京东如此严厉的打击内鬼和数据泄漏,依然屡禁不止的原因所在。作为一家上市的电商平台,仍因数据安全和用户隐私遭到用户的诟病和质疑,既反映了京东当下的现实困境,也折射出地下黑产的暗河已经蔓延遍布至整个互联网世界。
看不见的地下黑产
无间道和地下黑产,背后折射的是庞大的地下黑色产业链。
正如看得见的冰山只占整个的十分之一,互联网地下黑产经过十多年的发展,已经形成了一套完整的产业链,根据《中国网民权益保护调查报告2016》显示,我国54%的网民认为个人信息泄露严重,84%的网民亲身感受到由于个人信息泄露带来的诸多不良影响。
很多人都会有这个经历,炒股刚开了一个账号,没过多久就会有专门的机构打电话过来询问是否有理财需求;刚看了一套房子,很快就有中介机构打电话过来推荐房源……
一般来说,黑色产业链主要分为两类。面向企业的,一般的是刷单、窃取用户信息、薅羊毛、职业差评师、恶意调包试用等,面向消费者的,则是盗取账号、诈骗、钓鱼网站等。
电商领域因为离消费最近,中间涉及的环节又多,成为黑产的重灾区。
黑产者先想办法弄到用户在平台上的用户信息,比如账号、密码、电话、邮箱、地址等,然后再卖给下游的代理商,这些代理商会根据用户的区域、职业、年龄进行分类,做成一张张表格,然后根据需求打包卖给不同的客户,一条用户的信息最高可以卖到十几块钱,如果是十万条信息,那就是几百万的收入,这足以让一些人铤而走险。
事实上,数据泄漏对企业造成的损失最为严重,根据IBM公司和波耐蒙研究所联合做出的研究报告《数据泄漏代价的研究》显示,健康行业由于数据泄漏导致的年人均经济损失最大,高达363美元,其次是教育、医药、金融、通讯等行业。
百度的魏则西事件已经给企业敲响了警钟,电商行业的复购率又很高,并且直接和支付挂钩,稍有不慎,就是巨额的资金损失,而一旦造成实质性的伤害,带来的便是群体性的恐慌效应。
以及……
回到京东的无间道事件中来,企业能做的其实很有限,即便是漏洞已经补好了,内鬼已经查出来了,大众的不安全感依然存在。原因在于,互联网进入移动时代,手机几乎成为了个人和外界沟通的唯一物理工具,数据成为个人在互联网上的经纬度,一旦这个工具可以被定为,可以被追踪,并且可以查出之前的信息和数据,那么数据泄漏给用户带来的损失将比以往大的多的多。民众在觉醒,企业也在进步,然而这场攻防战,却远远没有结束。