刘建明:挺利索的。
陈永仁:我也读过警校。
刘建明:你们这些卧底真有意思,老在天台见面。
陈永仁:我不像你,我光明正大。
陈永仁:我要的东西呢?
刘建明:我要的你都未必带来。
陈永仁:哼,什么意思,你上来晒太阳的啊。
刘建明:给我个机会。
陈永仁:怎么给你机会。
刘建明:我以前没得选择,现在我想做一个好人。
陈永仁:好,跟法官说,看他让不让你做好人。
刘建明:那就是要我死。
陈永仁:对不起,我是警察。
刘建明:谁知道
以上对话来自双天王梁朝伟X刘德华在电影无间道的经典对白,而刘德华饰演的警队内鬼也因为从始至终自我矛盾,自我纠结的形象成为华语电影中最具争议的人物。
抛开这些不论,今天我们聊的就是内鬼。
最近,雷锋网在《2017电子商务生态安全白皮书》里看到一幅图。
这幅图意味着什么?
大家都知道,一般所说的电子商务数据安全风险主要包括数据泄露、数据篡改、数据可用性、数据污染、数据误用等安全风险。
但在上图清晰的显示出在数据泄露风险中,内鬼类风险导致的信息泄露事件占比为49%。随后是账号类、系统漏洞类和木马类风险,分别占比为16%、12%、14%。
纳尼?内鬼居然这么牛逼?他们到底是怎么进入内部获取用户数据信息的呢?
我们具体以商家信息泄露这一环节来讲。
商家在电子商务生态中扮演服务提供者的角色,绝大多数业务环节需要接触到消费者隐私数据以及电商交易数据。除此之外,商家普遍存在使用第三方系统、系统外包、服务外包等情况,增加了数据管理的不可控性。
在上面这幅图中,我们可以清晰地看到由内鬼造成商家数据泄露竟然占比56%。
当然,内鬼也是分级别分手段的。
简单粗暴,花钱买鬼
客服贝贝最近结了婚,男朋友变成老公没多长时间两人就经常吵架,为的还不是还房贷、车贷各种和钱沾边的事情嘛。贝贝也委屈,嫁了人就开始受苦,以前自己拿着一个月工资和小姐妹时常出去聚聚也过的不错,怎么结婚了就变了呢?
正在她发愁不已的时候一名中年男子通过网络找上了她,声称只要贝贝帮他搞到买家的一些数据就能给她一大笔钱。
意不意外,心不心动?单蠢的贝贝被他三言两语打动了,偷摸着把买家的个人信息给卖了出去。
像贝贝这样的被不法分子利用盗取订单信息,甚至做出删除宝贝等很多恶意操作的内鬼并不少见,他们可能知道对方的动机但鬼迷心窍,也可能轻信了对方的借口不知内幕,但结果一样的就是了。
戴上面具,鬼变成人
别以为内鬼都在身边,他可能伪装成店家的忠实粉丝,还是那种土豪粉丝,一次买好多宝贝的那种。然后顺手搭讪客服小妹,套路出来别人的交易信息。
所以有可能你的信息在不知不觉中就被卖掉了!
化个妆,自己变鬼
虽然只有20来岁,但赖某已是盗取个人信息的老手了。他通过潜伏进电商公司当客服人员的方式,在获取账号权限之后盗取大量买家个人信息并进行倒卖。
完事后他借机离职,留下后知后觉甚至什么都不知道的店家。
这些内鬼如此猖狂就没人管吗?光靠警察蜀黎能成事吗?
据雷锋网了解,其实从去年开始阿里巴巴就开发了一个名为“御城河”的系统。名字听起来相当复古,其实也就是利用大量基础数据,发挥数据分析能力,实时检测和识别设备、账号、应用、系统中的异常数据访问行为并及时给服务商、商家、物流等小伙伴提醒。
虽说是条河,但覆盖的面积却不小。据雷锋网了解,“御城河”保护的服务商云主机涵盖了93%淘系交易订单,每天帮助服务商分析1.8亿次核心数据访问行为并拦截风险,每天帮助物流商分析3500万次,有超过300万商家的近800万的终端在使用受保护的服务商或物流应用。
反正上文的惯犯赖某就在故伎重演,应聘进入广州的一家服装电商,并准备盗取个人信息时,被抓了个现行。
据受害商家回忆,“当天突然接到淘宝小二的紧急电话,提醒我去看一下我们员工的电脑,说这台电脑正在批量下载买家信息。”随后商家发现赖某正把1900多条买家订单数据进行拷贝,并通过QQ发送出去。
但值得思考的是,这些被抓的内鬼在从法律的高墙中出来后是否会重操旧业?
那就建个数据库?把这些内鬼的信息数据透明地放进诚信平台里面,让有内鬼前科的员工曝光在整个电商行业下,没办法再做坏事。这就是所谓的诚信计划。
而这些数据是由哪些人相互共享的呢?主要是电商生态安全联盟35家成员单位,其中包含物流、商家、安全服务商、代运营商以及ISV的伙伴等。
以河御城,诚信为刀,内鬼已被锁定。
部分资料和观点来源于: 2017网络安全生态峰会 “电商生态联盟”分论坛,出品:阿里巴巴集团安全部