日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
解析網(wǎng)購訂單信息泄露的秘密

相信很多人都曾面臨過自己的訂單信息泄露引起的詐騙或者騷擾電話、典型的機(jī)票改簽騙局、訂單退款騙局等等。每次大家都很憤怒的認(rèn)為電商平臺(tái)在出賣自己的信息,然而事實(shí)上是怎樣,我想從我負(fù)責(zé)訂單信息泄露兩年的實(shí)際經(jīng)歷來談?wù)勎业目捶ā?/p>

創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括凱里網(wǎng)站建設(shè)、凱里網(wǎng)站制作、凱里網(wǎng)頁制作以及凱里網(wǎng)絡(luò)營銷策劃等。多年來,我們專注于互聯(lián)網(wǎng)行業(yè),利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等,向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案,凱里網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到凱里省份的部分城市,未來相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任!

要了解訂單究竟從哪里泄露的,要看整個(gè)產(chǎn)業(yè)的流轉(zhuǎn)情況。我們下單買一個(gè)東西,大體上要經(jīng)過商家、電商平臺(tái)、物流、最后到達(dá)用戶手中,所以這四個(gè)環(huán)節(jié)都有可能產(chǎn)生訂單信息泄露的問題。我從自己的事件庫里拉出來我們自己的一個(gè)分析,每家情況可能不一樣,僅作參考。

一、商家環(huán)節(jié)

商家和電商平臺(tái)在有些時(shí)候是一個(gè),但在中國是有很多第三方賣家的。例如你在某寶買充氣女朋友,某寶是平臺(tái),而賣家可能是福建一個(gè)批發(fā)街上的小鋪?zhàn)?。也就是自營和第三方商家的區(qū)別,一般來說我們認(rèn)為自營的安全性比較高,而第三方商家則參差不齊,存在較大的風(fēng)險(xiǎn)。

在實(shí)際工作中,我們也統(tǒng)計(jì)過案例,實(shí)際上看到的數(shù)據(jù),商家確實(shí)是訂單泄露最主要的原因。但這只是基于我們自己的數(shù)據(jù)來看。商家信息泄露表現(xiàn)比較突出的有五種原因:

1、內(nèi)部倒賣。內(nèi)部員工倒賣訂單數(shù)據(jù)分為兩種情況,一種是內(nèi)部員工行為,另一種則是黑產(chǎn)打入的行為。先說內(nèi)部員工行為,一個(gè)小型商家對(duì)員工的錄用,大家可想而之是個(gè)什么情況。不在乎學(xué)歷,不在乎背景,只要有點(diǎn)經(jīng)驗(yàn)即可,而且待遇也比較低,員工流動(dòng)也大,因此面對(duì)一些誘惑,很容易去倒賣數(shù)據(jù),賣了幾批數(shù)據(jù)后就跑路換個(gè)其他公司接著做。還有一種是黑產(chǎn)打入,黑產(chǎn)直接派一些人去應(yīng)聘,然后拿數(shù)據(jù),也是干一陣就跑。

對(duì)付這種倒賣行為,要求商家去加強(qiáng)員工入職管理和權(quán)限管理,但對(duì)于這么小的商家,可能只有三五個(gè)人的商家,很難談得上什么管理,更談不上所謂的權(quán)限控制。一個(gè)大的平臺(tái),可能會(huì)有幾百上千萬大大小小的商家,這個(gè)管理難度不亞于治理一個(gè)國家了。一個(gè)稍微可行的辦法是,要求所有商家的員工入職前統(tǒng)一上傳身份證照片,然后建一個(gè)庫,對(duì)發(fā)現(xiàn)這種行為的打上標(biāo)記,禁止進(jìn)入,只不過,這仍然取決與商家的管理水平,你可以想象得到,商家會(huì)隨便應(yīng)付一下。但至少比沒有要好一些,能形成一些震懾力。

2、木馬病毒。商家的員工有時(shí)候會(huì)接待一些聲稱有大訂單的人物,訂單包括多種需求,所以會(huì)需要員工接收訂單文件,又或者發(fā)給員工一個(gè)鏈接,而木馬病毒就在這里了。木馬和病毒會(huì)潛伏下來監(jiān)控員工電腦操作,獲取訂單軟件系統(tǒng)信息的帳號(hào)密碼。之前我們也反復(fù)教育過商戶,不要使用QQ、郵箱之類的接收來歷不明的文件,但是面對(duì)這個(gè)群體,你能想到這種教育的效果。我們也曾經(jīng)考慮過,給商戶的電腦統(tǒng)一安裝我們自己開發(fā)的殺毒軟件,但這是一個(gè)很大的工程,木馬病毒又會(huì)不斷變形產(chǎn)生對(duì)抗,等于要成立個(gè)防毒軟件公司了,。

3、三方工具后門。在線銷售會(huì)需要一些系統(tǒng)的支撐,比如倉庫管理、訂單管理、面單打印等,市面上也有各種公司提供這一類軟件,這種軟件水平也參差不齊。有的直接就是黑產(chǎn)這種人開發(fā)的,目的就是竊取訂單信息。還有的屬于安全能力薄弱,有一些漏洞可以被利用,但是單一的某個(gè)軟件漏洞還不夠可怕,現(xiàn)在很多公司為商家提供一攬子服務(wù),訂單系統(tǒng)的服務(wù)器都在云上,一旦突破就是一個(gè)大群體訂單泄露。所以針對(duì)這個(gè)情況,我們做了兩件事,一是要求所有的軟件系統(tǒng)都必須經(jīng)過我們的安全測(cè)試,否則不給接口,在這一關(guān)做一層控制,但這也還不夠,因?yàn)橛行┍热缈爝f打印系統(tǒng),是不需要直接調(diào)用我們的接口的,另外即使做了代碼的檢查,也僅僅是軟件級(jí)的,出現(xiàn)事件后無法追溯到底哪個(gè)環(huán)節(jié)出了問題。所以我們又建了個(gè)云服務(wù)器區(qū),建議商家和軟件提供商遷移到這里來,這樣一旦出了狀況,我們能通過日志分析查找根源。

例如曾經(jīng)有段時(shí)間比較流行的某訂單打印軟件,按正常功能,應(yīng)該是能夠同步我們的平臺(tái)和物流公司。但在出問題的那幾周,物流公司反饋無法同步到訂單打印信息,而欺詐分子就會(huì)利用這個(gè)時(shí)間進(jìn)行電話欺詐。根據(jù)這個(gè)疑點(diǎn),我們停用訂單打印軟件后,這家店鋪的客戶訂單欺詐明顯消失。

4、弱口令。我們會(huì)給商戶提供一個(gè)在線的訂單管理平臺(tái),再加上商戶自己用的平臺(tái),都會(huì)存在弱口令問題。所謂弱口令并非是指123456這種,而是由于商戶員工的流動(dòng)性,離職后密碼沒有修改造成訂單信息被竊取。我們也曾考慮過做短信校驗(yàn),但短信校驗(yàn)碼就需要綁定手機(jī),給一個(gè)公司的人綁定手機(jī)存在著實(shí)際的操作困難。后來我們采用了證書機(jī)制。但這也只是解決了自有平臺(tái)的問題,商戶自用平臺(tái)還是存在口令泄漏。在排除法上,一旦出現(xiàn)訂單信息泄露反饋,立刻修改密碼,由此來判斷是否是由于口令問題引起。

5、無線與監(jiān)聽問題。很多公司都用的是小型家用無線路由器,這種路由器一是默認(rèn)密碼不修改,二是自身有漏洞。這樣黑客就可以采用DNS中間人、網(wǎng)絡(luò)監(jiān)聽流量等手段獲取網(wǎng)絡(luò)流量信息。這種情況下,改系統(tǒng)密碼、上云服務(wù)其實(shí)都沒有用處,但最重要的問題是難以發(fā)現(xiàn)。商戶完全不具備這種被攻擊的發(fā)現(xiàn)能力,除非我們做一款硬件安全路由分發(fā)給商戶。

商戶這端的風(fēng)險(xiǎn),主要是由于商戶IT水平、管理水平較低造成,另外分散在全國甚至海外。所以如果要完全解決商戶端的風(fēng)險(xiǎn),就幾乎意味著我們要替商戶包辦一切,從軟件系統(tǒng)到殺毒軟件,從無線路由再到人員管理,事實(shí)上對(duì)于一家電商公司來說,是幾乎不可能完成的任務(wù)。

二、用戶環(huán)節(jié)

用戶自身的問題屬于第二個(gè)比較突出的問題。能在這里看這篇文章的,對(duì)自身的安全都有防范意識(shí),但對(duì)于小白用戶,這就是一個(gè)比較突出的問題。而且訂單信息泄露最終的受害者也是用戶,如果安撫不好處理不當(dāng),就會(huì)吃官司。

用戶這里比較突出的是問題:賬號(hào)被盜、木馬病毒、釣魚、無線。

1、 賬號(hào)被盜。這個(gè)很容易理解,不解釋了,值得一提的是目前主要是撞庫。撞庫這個(gè)事情,稍微有點(diǎn)技術(shù)實(shí)力的電商都會(huì)用各種手段來防御,比如設(shè)備指紋、IP判定等防掃號(hào)。

2、 木馬病毒。主要是手機(jī)端的比較突出,去年下半年一段時(shí)間,我們發(fā)現(xiàn)接近70%的訂單信息泄露是手機(jī)用戶。我們密集調(diào)研了受害用戶,發(fā)現(xiàn)在手機(jī)上確實(shí)存在安卓遠(yuǎn)控類軟件,但種類十分繁多。所以我們?cè)贏PP上增加了一些安全的功能,對(duì)其中一些數(shù)據(jù)做了特殊加密,對(duì)啟動(dòng)環(huán)境進(jìn)行了判斷。

3、 釣魚,偽基站釣魚是一種。另外是社工類的釣魚,冒充客服打電話、兼職招聘收集用戶信息等,其目的也主要是為了得到賬號(hào)。

4、 無線,主要是偽熱點(diǎn)收集信息。

用戶這的問題都比較容易理解,但對(duì)用戶端問題的解決則是一個(gè)很大的工程。這些問題的解決分為我們可以掌控的和不能掌控的。對(duì)于賬號(hào)被盜、木馬病毒,基本上我們還可以提供對(duì)應(yīng)的解決方案。但對(duì)于釣魚問題,整體上已經(jīng)完全繞過了我們的平臺(tái),釣魚問題的打擊,又可以專門寫一篇文章來說了,一般是快速發(fā)現(xiàn)、合作關(guān)閉、宣傳教育。

但是,通常用戶不會(huì)理解這里的問題,總是將責(zé)任歸于電商平臺(tái)。會(huì)產(chǎn)生投訴,甚者會(huì)產(chǎn)生司法糾紛。所以對(duì)用戶的投訴處理要慎重對(duì)待,某些特殊用戶可能要先行賠償,出現(xiàn)危機(jī)要有公關(guān)處理。

三、物流環(huán)節(jié)

物流端其實(shí)也和商戶一樣,但是結(jié)構(gòu)上會(huì)簡單一些。主要風(fēng)險(xiǎn)兩個(gè):

1、 內(nèi)部倒賣。有倒賣系統(tǒng)數(shù)據(jù)的,但更多的是倒賣物流面單,倒賣物流訂單的特點(diǎn)是地域化比較集中,通常是某個(gè)門店,所以很容易歸類發(fā)現(xiàn)。而且主要集中在一些代理加盟的物流點(diǎn),管理比較松散。

2、 系統(tǒng)漏洞。關(guān)于系統(tǒng)漏洞大家見得就多了,我印象中幾個(gè)大的物流公司都有出過問題,攻擊者可以直接從系統(tǒng)上撈取物流信息。

對(duì)物流公司的泄露,一是宣傳教育,二是專項(xiàng)打擊,配合公安幾輪打下來,他們就會(huì)引以為鑒。這里有一個(gè)判斷因子,有些情況下,訂單還沒有到物流側(cè),用戶就接到了詐騙電話,所以在調(diào)查的時(shí)候要問清楚。

四、電商平臺(tái)

從電商自己來說,泄露訂單完全沒有意義—我是指正規(guī)電商,不是那種騙了錢就跑的。買賣這些訂單其實(shí)賺不了什么錢,還會(huì)對(duì)形象造成重大打擊,帶來無窮的麻煩和官司,完全得不償失。所以從根本上就不會(huì)想通過這種方法賺錢。

平臺(tái)端我碰到的問題主要分為兩類,內(nèi)鬼和系統(tǒng)漏洞。但內(nèi)鬼里面最突出的問題是外包,所以我單拿出來說這種問題。

1、 內(nèi)部員工作案。一個(gè)電商的業(yè)務(wù)系統(tǒng),能夠接觸到用戶訂單的人實(shí)在太多,從客服到技術(shù),到數(shù)據(jù)平臺(tái),前端等都有機(jī)會(huì)接觸。內(nèi)部員工的管控相對(duì)比較容易,一個(gè)是匿名化處理,所謂匿名化處理,就是對(duì)關(guān)鍵用戶信息進(jìn)行匿名或模糊處理,即使員工接觸到也無法聯(lián)系對(duì)方,或必須通過系統(tǒng)聯(lián)系對(duì)方。再一個(gè)是操作監(jiān)控,如果要偷拿訂單信息,必然是批量化,而不是個(gè)別單一訂單,從統(tǒng)計(jì)上就可以做一些規(guī)則預(yù)警。還有一個(gè)是加強(qiáng)警示教育,一旦發(fā)現(xiàn),從重處理絕不姑息。內(nèi)部員工作案的幾率比較低,但一旦出事就是大事,所以這部分能夠在自己掌控的地方要處理好。

2、 外包員工。外包員工的作案大家在媒體上也屢見不鮮,外包的應(yīng)用系統(tǒng)開發(fā)、基礎(chǔ)架構(gòu)的維護(hù)、客服是這里需要重點(diǎn)看的問題。安全部門要介入外包管理,從最開始的立項(xiàng)就要保證外包無法接觸到敏感數(shù)據(jù)。我們對(duì)外包除了在立項(xiàng)階段,還進(jìn)行現(xiàn)場調(diào)研,確定外包公司的環(huán)境能夠滿足我們對(duì)安全的要求,并且不定期抽查,抽查一定會(huì)讓你有驚喜。

3、 自身的系統(tǒng)漏洞。這里我要提的幾個(gè)點(diǎn),一是主要漏洞:防掃號(hào)、SQL注入、越權(quán)/遍歷問題、搜索引擎爬取,對(duì)這一類漏洞的防范,就看企業(yè)的基本功了,生產(chǎn)新上線的系統(tǒng)有沒有經(jīng)過代碼審計(jì)、滲透和掃描。另一個(gè)要說的是,其實(shí)主站問題大家都比較重視,但有很多后臺(tái)支撐系統(tǒng),各種問題五花八門,當(dāng)企業(yè)做大以后,后臺(tái)支撐系統(tǒng)出的問題不比主站少,這就要清理回收支撐系統(tǒng),該放在內(nèi)網(wǎng)的收到內(nèi)網(wǎng),該關(guān)的關(guān),該改的改。

總結(jié)

1、 訂單信息泄露的渠道多樣,有很多渠道不在電商安全人員的掌控之內(nèi),原則上是自己能夠把控的環(huán)境,一定要控制好。

2、 控制不到的地方,要想辦法延伸服務(wù),國內(nèi)三方商家的發(fā)展也剛剛開始,不可能做到十分規(guī)范化的操作。這時(shí)候安全人員要從技術(shù)上做一些輔助工具來協(xié)助三方商家,而不是一味地指責(zé)。在這種延伸過程中,可以壯大安全部門,提高安全人員的能力,做得好,還有可能賺一些服務(wù)費(fèi)。

3、 重視日志、環(huán)境數(shù)據(jù)的收集。在應(yīng)急的時(shí)候,日志是泄露量判斷的主要來源,也是攻擊手法判斷的主要來源,沒有這個(gè),丟人都不知道丟多大。再一個(gè)環(huán)境數(shù)據(jù)是指用戶側(cè)、三方商家側(cè),用了哪些軟件、地域信息、商品類目、與誰合作都需要納入,因?yàn)楹芏嗍录皇窃诙唐趦?nèi)能夠判斷清楚的,把一定量的用戶或商家訂單泄露歸并起來,就能從環(huán)境數(shù)據(jù)上找到共同點(diǎn),從而重點(diǎn)突破。

4、 排除法。短期內(nèi)要判斷問題,可以從排除法下手,一個(gè)軟件一個(gè)軟件的停,然后看效果。

5、 綜合解決方案。所有的訂單信息泄露引起的詐騙,有一個(gè)點(diǎn)至關(guān)重要,就是用戶的聯(lián)系方式,沒有聯(lián)系方式詐騙就無法進(jìn)行。但在商家、物流與客戶的交易中,聯(lián)系方式又至關(guān)重要。去年看到某電商對(duì)聯(lián)系方式做了匿名化處理,我個(gè)人覺得是一個(gè)比較好的切入方式,當(dāng)然工程量也很龐大,需要打通上下游一堆環(huán)節(jié)。但如果能夠徹底實(shí)現(xiàn),黑市的訂單信息價(jià)格就會(huì)一落千丈。


新聞標(biāo)題:解析網(wǎng)購訂單信息泄露的秘密
文章位置:http://m.5511xx.com/article/ccssdig.html