信息保护流于形式
经历此劫后,1号店的信息安全、账户安全漏洞已完全暴露出来。
1号店用户文林告诉记者,1号店曾要求其将账号与手机绑定,假如账户内有超过50元的资金动向,1号店便会向其发送手机信息和动态密码进行确认,以保障安全。
“此后我通过账户购买了有近200元的商品,但手机从未收到过1号店承诺的动态密码。”文林表示。对此,1号店一位客服人员告诉记者,1号店目前已经取消了这一服务,并将标准修改至500元以上才会对用户进行安全提醒,而修改的理由竟是令人匪夷所思的“为了方便客户”。
1号店如何维护500元以下账户资金的使用安全?该客服人员的建议居然是,可以通过频繁修改密码让外界无法掌握。
记者了解到,目前1号店对于账户资金的安全措施仅停留在单层密码保护的状态,一些电商所用的诸如U盾卫士、动态密码计算和登入密保卡,1号店目前均未使用。
而1号店90万会员数据的外泄原因目前也仍是个谜。对此,1号店在接受采访中始终讳莫如深。
中国电子商务研究中心分析师冯林向本报记者表示,许多电商网站对会员信息资料使用的都是明文而非加密的保存方式,在这种情形下,电商企业内部会有很大的信息外泄隐患。
一位曾负责过电商运营安全的行业人士表示,他曾对市面上泄露的电商数据样本做过分析,结果显示,85%的外泄都是由电商内部人士自己泄露出来的,仅15%是外部黑客通过电商网站的一些技术设计缺陷抓取获得的。
“绝大多数电商其实对会员数据信息安全的问题并不敏感,特别是快速发展中的电商,它们的IT部门平日里忙得不可开交,根本没有多余的精力放在提高信息安全性上。电商技术部门的绝大多数开发人员都拥有访问后台会员数据的权限,一些业务部门也可以得到这些访问权限,这就意味着会员信息数据有许多被外泄的可能性。导致这些问题的原因在于网站系统架构设计不合理,在项目初期,技术部没有考虑将数据访问层和业务层进行分离。”上述人士分析称。
“许多电商缺少必要的内部规范,不是说公司里什么人都可以看用户信息,即便是工作需要,也应该设置多层授权,在接触数据库时必须要同时有两人以上在场,便于相互监督,企业还应该安装摄像头,以避免监守自盗事件发生的几率。”冯林说。