知情人士透露,一年前,好贷网的用户数据外泄,并流入电信诈骗分子手中。“疑似因为好贷网的一位副总裁,将数据卖了出去。他以为对方是电话营销公司,没想到是诈骗公司。”此后,这位副总裁被警方带走。大量数据流向市场逐渐“失控”,电信诈骗、盗窃等隐患正在发酵。一时间,“好贷网用户数据外泄,上万用户被骗”一事在网络上传得沸沸扬扬。
而这样的事,在互联网金融圈绝非孤例。
围绕贷款用户,一条诱惑、欺诈、盘剥的产业链正在形成。保守估计,被骗者已上万,数千万资金被卷走。
诈骗分子的数据,到底是怎么来的?
“其实,我们的数据,大多是现金贷平台自己卖给我们的。”一位从事过电话诈骗的资深从业者称。
除此之外,一些贷款超市也在出售用户数据。
而一些大平台流出的数据,多是被黑客“拖库”,然后直接在黑市上公开销售。
从源头流出的数据,必然是维度最多、质量最高的。而数据的产业链太长,在其流动的过程中,可钻的漏洞到处都有。比如,外包的短信平台和催收平台。它们都存在数据外泄的风险。
流到黑市中的某知名平台用户数据
实际上,大多数现金贷平台的数据安全防范意识不强。正规的此类平台都会进行数据的脱敏和加密。但很多现金贷公司为了降低成本,还是会去找一些不正规的小平台。
围绕肆意流动的数据,一条全新的产业链正在形成。先是诈骗分子下套,再是超利贷借条洗劫,最后还有电话营销公司盘剥。
用户的数据价值,正在被各方蚕食与压榨。
谁为我们“失控“的数据买单?
最新的《网络安全法》规定,数据外泄,企业难辞其咎——“网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。“
公司内鬼偷、黑客外部攻击等导致数据泄露的情况出现后,企业要承担责任,因为其对数据具有安全保障责任。虽然企业可能也是数据泄露的受害者,但如果其未尽到企业网络安全保护义务的话,仍要承担包括行政处罚责任在内的法律责任。
谁来守护我们的数据和隐私?
由于社会整体个人信息保护意识的缺失,很多人对于“信息泄露”缺乏足够的敏感性。同时,很多平台对数据的安全防范意识不强,容易被黑客“拖库“,平台管理机制的漏洞也被 “内鬼”利用,导致用户数据”失控“。
建议个人:
提高警惕:接到要求提供姓名、身份证号、银行卡号等个人隐私信息的电话,要提高戒备,谨慎提供,保护好个人隐私。
账号管理:不要随意授权安装app,对于不经常使用的账号要及时注销,多个账号密码要定期修改。
建议企业:
从好贷网事件来看,现金贷平台用户信息泄露主要有两方面原因,一被内鬼利用管理机制的漏洞从内部攻破,二是系统被黑客从外部攻破。对于此类内外部渠道严重数据泄露事件,安华金和建议采用“数据库安全运维+敏感数据加密+限制访问权限”的安全防护思路:
1、数据库安全运维
来自内部人员的数据泄露反映出数据库运维工作缺乏细粒度的管控手段,目前数据库运维工作的管理模式重在事前审批,审批通过后则由运维人员或其他人员自行操作执行,“删库跑”屡见不鲜,建议借助专业的数据库运维管控工具,实时管控运维行为。
2、敏感数据加密
数据库加密技术从存储层直接将明文转换成密文,配合三权分立机制,对访问来源进行身份校验进行解密,可以从根本上有效防止外部非法入侵窃取敏感数据,同时也可以有效防止内部高权限用户数据窃取、防止合法用户违规数据访问。
3、限制访问权限
严格的数据库访问权限设置可以防止绝大部分的黑客利用shell入侵,是保护数据安全的有力手段。虽然数据库系统自身可以对访问账号进行初步的权限控制,但在实际应用中往往需要根据访问源、访问行为、访问对象等进行更细粒度的策略配置与管控。数据库防火墙技术是目前比较有效的数据库应用侧防护手段。
数字化时代,数据已成为最大的资产,数据安全已成为企业把握核心数据资产命脉的护身符。当前,数据安全形势日益严峻,数据泄露事件一波未平一波又起,对于很多企业来讲,业务的核心就是数据,一旦信息泄露,往往面临的就是巨额的赔偿和业务受损,因此必须尽快提高数据安全的警觉性。作为一家致力于数据安全使用的厂商,安华金和基于多年的技术积累与经验,帮助众多企业解决数据在使用和存储中的安全隐患。在云计算与大数据普及的今天,无论企业数据在IDC或是云平台,融合业务场景,以数据为中心的保护是安华金和一直的目标。数据资产安全是企业持续业务创新的核心保障。
本文作者:安华金和,转载自:https://www.freebuf.com/company-information/177848.html
閱讀更多 A1d2m3i4n5 的文章
