數(shù)據(jù)泄露一直都是互聯(lián)網(wǎng)企業(yè)難以言說的痛，在“3·15”國際消費者權(quán)益保護(hù)日腳步的臨近之際，葫蘆娃與大家一起回顧這些用戶信息泄漏的典型案件。

近日，公安部破獲了一起盜賣公民信息的特大案件，被竊取和盜賣的公民信息多達(dá)50億條。經(jīng)公安部調(diào)查，京東網(wǎng)絡(luò)安全部前試用期員工鄭某鵬，長期監(jiān)守自盜，與黑客相互勾結(jié)，為黑客攻入網(wǎng)站提供重要信息——包括在京東、QQ上的物流信息，交易信息、個人身份等數(shù)據(jù)信息，為犯罪團(tuán)伙實施違法犯罪活動提供了有力的技術(shù)保障。

從雅虎2億用戶數(shù)據(jù)泄露，再到前段時間，借貸寶10G裸貸照片和視頻壓縮包在網(wǎng)上的廣泛流傳，再到京東的12G數(shù)據(jù)泄露。一樁樁一件件，無不都顯示著在當(dāng)前大數(shù)據(jù)時代下每個人都在裸奔的普遍常態(tài)。

據(jù)國內(nèi)知名電商用戶投訴維權(quán)第三方平臺，近年來接到的用戶投訴以及對監(jiān)測發(fā)現(xiàn)：不少大型互聯(lián)網(wǎng)公司平臺公司存在重大內(nèi)部管理漏洞，其內(nèi)部人員故意泄露、販賣網(wǎng)站用戶個人信息資料，侵犯網(wǎng)絡(luò)交易用戶的信息隱私權(quán)。下面盤點近年來行業(yè)內(nèi)出現(xiàn)的11起典型用戶信息安全事件如下：

事件一：5173中國網(wǎng)絡(luò)服務(wù)網(wǎng)數(shù)次被“盜錢”。

2010年1月20日，涉嫌盜竊罪的李豪被蘭溪市檢察院批準(zhǔn)逮捕。經(jīng)查，李豪前后一共盜取了100多個5173網(wǎng)站的賬號，共獲得贓款12萬余元人民幣。不法分子先在網(wǎng)上找尋有出售游戲幣和游戲裝備信息的5173網(wǎng)絡(luò)賬號，通過簡單交易獲知信息，再推算出網(wǎng)絡(luò)賬號密碼，從而實施網(wǎng)上盜竊。

事件二：當(dāng)當(dāng)網(wǎng)賬戶遭盜刷。

2012年3月，當(dāng)當(dāng)網(wǎng)賬戶集體被盜，余額被用于購買電子產(chǎn)品、金銀首飾等大額商品。當(dāng)年6月13日，網(wǎng)名為“我是那個向日葵”的微博用戶發(fā)布微博稱，其購進(jìn)的10張面值500元"當(dāng)當(dāng)網(wǎng)禮品卡"，被盜充。2014年3月，當(dāng)當(dāng)網(wǎng)113位用戶賬戶余額被盜用，損失金額超過6萬元。而當(dāng)當(dāng)網(wǎng)對于用戶賬戶被盜第一時間均是撇清關(guān)系，在輿論壓力下才給以補償。

事件三：“1號店”員工內(nèi)外勾結(jié)泄露客戶信息。

2012年5月底，微博用戶挨踢客爆料1號店員工內(nèi)外勾結(jié)泄露客戶信息，90萬的用戶信息竟被以500元的價格叫賣。部分消費者不久后就遇到了賬戶余額被盜、電話詐騙等問題。之后1號店凍結(jié)用戶賬戶。1號店副總裁劉彤回應(yīng)：1號店在案發(fā)后已進(jìn)行了內(nèi)部檢查，對系統(tǒng)、流程、權(quán)限進(jìn)行了清理、升級，以杜絕日后類似事件的發(fā)生。被消費者質(zhì)疑“很沒有誠意”。直至2013年3月，仍有很多消費者稱1號店對那次信息泄露事件的處理很不到位，至今仍沒有得到應(yīng)有的補償。

事件四：支付寶漏洞信息泄露。

2013年3月27日晚，網(wǎng)友曝支付寶出現(xiàn)重大漏洞，稱使用谷歌、360搜索則可以搜索出大量的支付寶交易記錄，包括付款賬戶、收款賬戶、姓名、日期，甚至郵箱和手機號等，并附帶上了Google搜索的截圖和多個詳情頁的截圖。該消息27日被大量轉(zhuǎn)發(fā)后，支付寶官方于27日晚23時53分在微博中做了回應(yīng)，稱已做處理，這次有付款結(jié)果頁面被收錄可能是因為有極少量用戶主動將自己付款結(jié)果頁面分享到公共區(qū)域。該回應(yīng)遭廣大網(wǎng)友質(zhì)疑。對此，支付寶在回應(yīng)中稱，支付寶生活助手轉(zhuǎn)賬付款結(jié)果頁面一般用于支付雙方展示支付結(jié)果，不含真實姓名、密碼等重要信息，支付寶對這一頁面鏈接加具了安全保護(hù)，正常情況下任何搜索引擎都無法抓取。目前已將用戶付款結(jié)果頁面做部分信息隱藏，進(jìn)一步幫助用戶保護(hù)個人隱私信息。

事件五：如家、七天開房信息泄密。

2013年10月，如家、七天等連鎖酒店被網(wǎng)曝有多達(dá)2000萬條客戶開房信息遭泄露，只需輸入姓名或身份證號，即可查詢到包括身份證號、生日、地址、手機號、郵箱、公司、登記日期等真實信息。事發(fā)一周前，國內(nèi)安全漏洞監(jiān)測平臺烏云發(fā)布報告，稱多家酒店開房記錄被某無線上網(wǎng)認(rèn)證管理系統(tǒng)供應(yīng)商存儲，并因系統(tǒng)有漏洞而存在泄露隱患。

事件六：騰訊7000多萬QQ群遭泄露，隱患危及微信支付。

2013年11月20日，國內(nèi)安全漏洞監(jiān)測平臺烏云公布報告稱，騰訊QQ群關(guān)系數(shù)據(jù)被泄露，在迅雷快傳很輕易就能找到數(shù)據(jù)下載鏈接。根據(jù)QQ號，可以查詢到備注姓名、年齡、社交關(guān)系網(wǎng)甚至從業(yè)經(jīng)歷等大量個人隱私。騰訊方面亦承認(rèn)7000多萬QQ群遭泄露。對此，業(yè)界均擔(dān)憂泄露事件將直接牽連微信安全問題。“黑客一旦掌握了QQ號碼和銀行卡號，就能注冊微信并使用微信支付，盜取用戶資金幾乎是輕而易舉的事情。”

事件七：攜程技術(shù)漏洞導(dǎo)致用戶個人信息、銀行卡信息等泄露。

早在2009年之前，攜程信息安全漏洞就已經(jīng)多次被用戶質(zhì)疑，但均未引起公司足夠重視。2014年 1 月攜程再次被媒體指出儲存信用卡敏感信息存在泄露風(fēng)險，攜程網(wǎng)回應(yīng)采用的信用卡支付方式符合國際慣例，對自身的信息安全問題再次選擇忽視。2014年3月22日下午18:18分，烏云漏洞平臺發(fā)布消息稱，攜程系統(tǒng)存技術(shù)漏洞，可導(dǎo)致用戶個人信息、銀行卡信息等泄露。漏洞泄露的信息包括用戶的姓名、身份證號碼、銀行卡類別、銀行卡卡號、銀行卡CVV碼(即卡號、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)以及銀行卡6位Bin(用于支付的6位數(shù)字)，上述信息有可能被黑客所讀取。

事件八、快遞單販賣成“灰色產(chǎn)業(yè)鏈”。

快遞單成為又一信息泄露途徑，“淘單114”、“淘單網(wǎng)”、“淘單8”、“單號網(wǎng)”等網(wǎng)站明碼標(biāo)價出售快遞單號，0.5元就可買到一份快遞信息，快遞單號販賣儼然已經(jīng)成為一條灰色產(chǎn)業(yè)鏈。而數(shù)量龐大的淘寶賣家成為快遞單號的重要來源之一，目前有近90%的淘寶賣家都在刷單，用真實的快遞單號“炮制”出逼真的虛假交。

事件九：小米“泄密門”800萬用戶信息泄露。

2014年5月13日晚間，安全平臺烏云發(fā)布了一個重大的安全漏洞信息，小米論壇被脫褲，約有800萬小米社區(qū)用戶數(shù)據(jù)泄漏，或?qū)⒂绊懶∶滓苿釉频让舾行畔ⅰｋS后有用戶收到了詐騙電話，電話源頭能提供用戶的準(zhǔn)確信息，姓名、地址、電話、商品購買記錄、密碼、郵箱、注冊IP等信息等等，以貨到付款的方式進(jìn)行產(chǎn)品推銷及其他詐騙行為。

事件十：13萬12306用戶信息外泄事件。

2014年12月25日上午，漏洞報告平臺烏云網(wǎng)出現(xiàn)了一則關(guān)于中國鐵路購票網(wǎng)站12306的漏洞報告，危害等級顯示為“高”，漏洞類型則是“用戶資料大量泄漏”。這意味著，這個漏洞將有可能導(dǎo)致所有注冊了12306用戶的賬號、明文密碼、身份證、郵箱等敏感信息泄露。后犯罪嫌疑人蔣某某、施某某被抓獲。經(jīng)過警方初步審查，兩人交代是通過收集互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個網(wǎng)站泄露的用戶名加密碼信息，嘗試登錄其他網(wǎng)站進(jìn)行“撞庫”，非法獲取用戶的其他信息，并牟取非法利益。

事件十一：攜程“癱瘓門”。

2015年5月28日11時許，攜程網(wǎng)癱瘓，網(wǎng)頁版和手機APP均不能正常使用，攜程網(wǎng)回復(fù)稱是服務(wù)器遭到不明攻擊所致，正在緊急恢復(fù)。5月28日下午，攜程官網(wǎng)在首頁頂部掛出“攜程網(wǎng)站暫時無法提供服務(wù)，正在緊急修復(fù)中，您可以訪問：藝龍旅行網(wǎng)”的通知。5月28日17點開始，藝龍旅行首頁網(wǎng)也無法正常訪問，半小時后才恢復(fù)正常。對于事故原因，網(wǎng)上在攜程癱瘓事件發(fā)生不久之后，出現(xiàn)了內(nèi)部員工離職報復(fù)、數(shù)據(jù)庫被物理刪除等傳言。5月28日22時45分，攜程官方表示，經(jīng)技術(shù)人員搶修，除個別業(yè)務(wù)外，攜程官方網(wǎng)站及APP恢復(fù)正常，經(jīng)過排查，數(shù)據(jù)沒有丟失，預(yù)訂數(shù)據(jù)也保存完整。5月29日1時30分，攜程官方表示，經(jīng)技術(shù)排查，確認(rèn)此次事件是由于員工錯誤操作導(dǎo)致，由于涉及的業(yè)務(wù)、應(yīng)用及服務(wù)繁多，驗證應(yīng)用與服務(wù)之間的功能是否正常運營，花了較長事件，攜程官網(wǎng)及APP已與28日23時29分全面恢復(fù)正常。

究竟誰該為用戶數(shù)據(jù)安全負(fù)責(zé)？

《消費者權(quán)益保護(hù)法》的規(guī)定，經(jīng)營者及其工作人員對收集的消費者個人信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供。經(jīng)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止消費者個人信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時，應(yīng)當(dāng)立即采取補救措施。另外，《網(wǎng)絡(luò)交易管理辦法》也有相同的規(guī)定。如果由于經(jīng)營者的過失，導(dǎo)致消費者經(jīng)濟損失的，理應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任。

按照現(xiàn)行法律，如果用戶信息泄露，企業(yè)是需要承擔(dān)一定的賠償責(zé)任的，因為公司與用戶之間具備合同關(guān)系，有保障用戶信息安全的義務(wù)。如果本次事故是內(nèi)部人員所為，說明公司內(nèi)部存在管理問題，沒有盡到安全管理責(zé)任，應(yīng)承擔(dān)相應(yīng)的民事責(zé)任，賠償用戶損失。如果本次事故是外部攻擊造成，需要具體分析公司方面是否有采取基本的技術(shù)措施保障信息的安全，再來判定公司是否存在過錯。

用戶信息泄露不僅存在于個別計價平臺，幾乎是當(dāng)下各行業(yè)的一大“通病”，而信息泄露中受害最大的是處于被動的消費者。要在購物過程中避免信息泄露，需要消費者、電商平臺和相關(guān)部門的共同努力。全國首部《電子商務(wù)法(草案)》中，加大對信息安全的保護(hù)力度，明確包括第三方電商平臺、平臺內(nèi)經(jīng)營者、支付服務(wù)提供者、快遞物流服務(wù)提供者等在內(nèi)的信息安全保護(hù)責(zé)任主體。提出對未履行保護(hù)義務(wù)的，最高處50萬元罰款并吊銷執(zhí)照；構(gòu)成犯罪的，追究刑事責(zé)任。此外，根據(jù)刑法第二百五十三條：“國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。

那么，如何防止個人信息被泄露呢？

第一，網(wǎng)站用戶信息泄露有多種可能性途徑。現(xiàn)在許多APP、網(wǎng)站、公眾號、小程序都需要用戶注冊賬號后才能正常使用。因此，每個網(wǎng)民擁有多個賬號是很平常的事情。在注冊時，網(wǎng)站一般都需要填寫一些個人信息，如常見的賬號、密碼、郵箱等，像一些電子商務(wù)、婚戀、交友網(wǎng)站等還需要實名認(rèn)證，要求填寫的信息更加詳細(xì)。平臺上的用戶數(shù)據(jù)泄露主要有以下幾種方式：黑客利用平臺存在的安全漏洞入侵網(wǎng)站，盜取用戶數(shù)據(jù)庫；網(wǎng)站內(nèi)部工作人員倒賣用戶信息；通過撞庫攻擊，竊取用戶數(shù)據(jù)；利用釣魚攻擊竊取用戶信息；通過木馬、病毒竊取用戶隱私信息。

第二，法律條文需細(xì)化，相關(guān)部門應(yīng)適時介入。我國關(guān)于網(wǎng)絡(luò)信息安全方面的法律條文不夠明確，適用范圍尚且不夠精準(zhǔn)，相關(guān)條文必須得到進(jìn)一步細(xì)化、規(guī)范，以此更加公平公正地懲治網(wǎng)絡(luò)信息安全事故的造成者，保護(hù)公民切身利益。此類信息泄露事件不適用“不告不處理的”的原則，相反，執(zhí)法部門應(yīng)主動積極介入案件調(diào)查，并對實施者進(jìn)行追責(zé)處理。

第三，信息安全無小事，用戶必須增強信息保護(hù)意識。警惕要求重新輸入賬號信息，否則將停掉信用卡賬號之類的郵件，不要回復(fù)或者點擊郵件的鏈接，以免落入圈套。同時，避免開啟來路不明的電子郵件及文件，安裝殺毒軟件并及時升級病毒知識庫和操作系統(tǒng)補丁，將敏感信息輸入隱私保護(hù)，打開個人防火墻。網(wǎng)絡(luò)銀行時，選擇使用網(wǎng)絡(luò)憑證及約定賬戶方式進(jìn)行轉(zhuǎn)賬交易，不要在網(wǎng)吧、公用計算機上和不明的地下網(wǎng)站做在線交易或轉(zhuǎn)賬。不要在多個網(wǎng)站使用相同的注冊賬戶名以及登錄密碼，防止網(wǎng)絡(luò)黑客有意盜取，造成多個網(wǎng)站個人信息的連環(huán)失竊。

第四，要求網(wǎng)站平臺收集和使用用戶信息應(yīng)當(dāng)遵循“合法、正當(dāng)、必要”三原則。對收集到的用戶信息應(yīng)當(dāng)采取安全保護(hù)措施，一旦發(fā)生泄密，必須及時采取補救措施，否則都可能面臨行政處罰或者用戶的訴訟。

重中之重部署—SSL加密證書

防止信息泄露，要提前準(zhǔn)備，防患于未然，網(wǎng)站上安裝SSL證書，對瀏覽器傳輸?shù)骄W(wǎng)站服務(wù)器的數(shù)據(jù)進(jìn)行加密，確保數(shù)據(jù)不會被竊聽者攔截，認(rèn)證網(wǎng)站服務(wù)器的真實身份，讓用戶確信敏感信息（支付卡信息或其他數(shù)據(jù)等）正發(fā)送到正確的服務(wù)器，而不是欺詐者或數(shù)據(jù)竊取者的服務(wù)器。詳情請查看：//www.huluwa.cc/zt/renzheng/