2015年快递企业信息泄露案达43起,泄露包含消费者个人隐私数据的订单信息数量,保守估计高达上百万......据菜鸟网络监测,2015年,国内主流快递企业信息泄露、系统遭受攻击等事件出现上千起。专家建议,快递行业亟需改善系统环境,启用更安全的云环境以保障消费者的安全。
据国家邮政局数据称,2015年全国快递业务量已突破200亿件,这意味着上百亿频次的消费者信息流转在各大快递企业系统当中。作为一个消费者信息数据的海洋,快递信息的安全性至关重要。
菜鸟网络统计显示,2014年12月份至2015年12月,快递公司仅信息泄露案件就多达43起,上百万张消费者隐私订单信息被泄露。最多的一家企业一年有8起信息泄露案件,少的也有1至2起。从原因上看,信息泄露的原因绝大部分来自快递企业系统落后,存在漏洞,以及内部管理问题。
今年6月份,一批订单数据遭到泄露,该批数据包含一批涉及消费者信息的订单,其中相关订单的物流发货服务商都集中在某快递公司,初步判断疑似是该快递公司泄露。
菜鸟把分析结果和结论反馈给该快递公司,并关闭推送敏感数据的接口,协助该快递公司排查。经过排查,记录并锁定了泄漏信息被查询来源,并通过IP定位该内部员工。目前,该快递公司已发起报警处理,菜鸟积极协助按照网安的要求准备报案材料,联系警方走司法流程。
信息泄露只是系统安全隐患的一个表现,菜鸟网络发现,落后的网络系统带来的后果包括大量漏洞、信息泄露、频繁遭受外部攻击等方面。
作为非互联网行业的快递公司,近年也成为知名安全社区“乌云网”的榜上常客,时有快递公司漏洞报告。
“乌云上的只是很少一部分,菜鸟网络几乎每天都能监测到合作伙伴的漏洞,并且直接反馈给这些快递公司。”菜鸟网络数据安全专家周磊表示,菜鸟网络安全部门其中一个重要的工作就是协助合作伙伴提升安全能力。
周磊介绍说,系统漏洞只是表象,快递公司的根本问题是自身安全能力薄弱。许多企业从开发到运维以及业务账号权限管理、安全审计都存在很多问题,特别是安全开发方面,开发人员没有安全意识、开发流程不规范等等。
今年,某快递企业出现过一些不应公开的敏感信息被Google收录,后查出该公司内网系统设计有缺陷,被不法分子攻击暴力破解密码后入侵办公系统,造成公司内部敏感信息泄露。进一步排查发现,该快递企业内网系统甚至在未登录的情况下可访页面,更加给不法份子非法获取客户敏感信息提供便利。
菜鸟监测到攻击信息后,紧急通知该快递公司,进行安全漏洞整改,以及对服务器进行安全排查、系统重装加固,避免了更大规模的安全事件。
基于信息安全性及业务发展需求,各大快递企业也充分重视到了这个问题,积极升级系统装备。如圆通、申通、百世等企业,积极提升自身安全能力,升级网络架构、优化应用系统。
但是一方面,全面、系统地对物理、网络、主机、应用、数据的升级改造带来高额的安全改造成本。统计显示,各快递企业在2015年用于升级网络架构、优化系统、加强安全性的投入从数千万到上亿元不等。
另一方面,尽管投入巨资,企业自身的安全改造周期远远无法满足新的业务模式下的安全需求,赶不上安全风险的不断变化。
“企业自身投入去做这些的成本太大,改造周期长,改造完成新的安全攻击又出现了,当时的安全设计方案已经过时了,而上云能解决这两个关键的问题。”周磊认为,快递上云未来是大势所趋。
阿里研究院专家粟日指出,加快流通体制改革是明年经济工作的重要任务之一,物流云的发展将使我国物流业信息化水平得到本质提高,不仅保障了系统安全性,也是数据化推动物流效能升级的典型案例,有助于降低社会物流总成本,提升流通系统整体效率。