手機應用隱患 企業內鬼作祟 防范不足遭侵

　　信息泄露三大缺口誘發“精準詐騙”(問診移動互聯短板系列報道②)

　　本報記者 董絲雨 錢一彬 吳姍

　　近期，涉及互聯網安全的報告頻頻公布，凸顯個人信息安全風險。《中國網民權益保護調查報告(2016)》數據顯示，網民“個人身份信息”泄露最為嚴重，占比72%，其次為“個人網上活動信息”泄露，占比54%；《2016年中國網站安全漏洞形勢分析報告》披露，2016年僅全球最大漏洞響應平臺補天平臺收錄的漏洞中，就有1700余個漏洞可造成個人信息泄露，可泄露信息規模達50余億條……

　　一些手機應用暗藏風險隱患，一些企業個別“內鬼”興風作浪，一些互聯網公司安全防范不足……記者調查發現，移動互聯網時代，信息安全防范頻現上述三大缺口，利用個人隱私泄露的“精準詐騙”屢屢發生。

　　今年1月，中辦、國辦印發的《關于促進移動互聯網健康有序發展的意見》指出：“完善移動互聯網用戶信息保護制度，維護用戶合法權益”。多措并舉，對癥下藥，保護移動互聯網時代的個人隱私安全，刻不容緩。

　　技術變“騙術”

　　應用藏風險

　　今年1月，北京協和醫院發出聲明：“‘北京協和醫院—掌尚協和’為北京協和醫院唯一官方APP。此外，凡是以北京協和醫院名義從事預約掛號行為的APP與本院毫無關系。”

　　在各類手機APP便民利民的同時，一些山寨APP悄然現身。《中國網民權益保護調查報告(2016)》顯示，超過50%的網民在使用手機APP的過程中遇到過用戶信息被竊取的侵權情況，84%的網友親身感受到了個人信息泄露所帶來的不良影響。

　　中國政法大學傳播法研究中心副主任朱巍認為，非法軟件的存在和隱藏其中的惡意程序，使個人在手機中存儲的幾乎所有信息，都面臨著被竊取盜用甚至成為非法交易對象的危險。用戶信息泄露后，輕則接到騷擾電話，重則因網絡電信詐騙蒙受損失。所有投放到市場的手機軟件和應用，保證用戶信息安全是最基本的一條底線。

　　除了“李鬼”APP登堂入室竊取個人信息，一些手機軟件運用時的“額外要求”也極可能導致手機通訊錄、個人位置等信息泄露。

　　“出門打車要授權調用位置信息，為什么玩個游戲都要知道我的位置信息？”近日，一名河北網友在被某游戲軟件要求調用手機位置信息時發出這樣的疑問。

　　根據去年6月網信辦發布的《移動互聯網應用程序信息服務管理規定》，移動互聯網應用程序提供者收集、使用用戶個人信息應當遵循合法、正當、必要的原則。一些手機應用收集“不必要”的信息，既不符合相關規定，也加重了個人信息的安全風險。

　　人人互聯的時代，稍有不慎，風險也會“互聯”。在咖啡廳、餐館等公共場所，不法分子借助“提供免費無線”等幌子引誘用戶手機連接具有安全風險的無線網絡，進而通過技術手段獲取用戶上網時使用過的賬號密碼等信息。

　　“新技術應用被不法分子利用，就有可能演變為新騙術。這對保障個人信息安全提出了更高要求。”上海社會科學院信息安全研究中心主任惠志斌認為，除了發揮個人信息保護立法的基礎性作用，管理部門也要跟上技術發展的腳步，及時出臺標準規范引導企業合法合規的數據需求，既要通過監管斬斷非法利益鏈條，也要依托產業持續提升數據生態保障能力。

　　企業存“內鬼”

　　騙局連環套

　　因為一條短信，一夜之間，支付寶、百度錢包、所有的銀行卡信息都被攻破、所有銀行卡的資金全被轉移。在長達數小時的時間里，手機處于癱瘓狀態，打不出電話……

　　這令人驚愕的真實案例，發生在2016年4月。

　　一位網友在“水木社區”發帖，稱自己在地鐵里因回復一條來自“1065800”的短信，輸入驗證碼，從而掉進連環圈套。半小時后，手機無服務無法上網，眼看著一筆筆資金被轉走而無能為力。恢復手機服務后，他發現自己的網銀、支付寶的密碼都已被篡改。

　　這位當事人至今心存疑問：究竟該找哪個機構交涉？

　　去年，山東臨沂大學生小趙在某電子商城買了部手機，下單后第二天接到一個“130”開頭自稱客服的電話，說訂單出現異常，只能貨到付款；如同意只需填一下信息。小趙填完信息后，銀行卡中近千元不翼而飛。經警方調查發現，該電子商城某配送站站長利用職務之便，進入內部管理系統，將訂單資料截屏，并在網上以每條4元到6元的價格出售。

　　業內人士指出，客戶信息一般只有內部員工才能接觸到。之所以出現信息泄露，是因為少數利欲熏心的“內鬼”作祟，導致大量個人信息流入黑色產業鏈，成為被交易的對象。

　　全國人大常委會《關于加強網絡信息保護的決定》第三條規定，“網絡服務提供者和其他企業事業單位及其工作人員對在業務活動中收集的公民個人電子信息必須嚴格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供”。

　　朱巍表示，對工作性質涉及用戶數據的工作人員，應強化人員管理和資格審查，其對個人信息的調取權限應做到規范而具體。“一個優盤就可以拷走信息，一次離職就可能帶走海量數據。對這類事情要做好事前預警，比如調取信息要實名等。此外也要加大對工作人員道德教育和事后處罰力度。”

　　防御帶“硬傷”

　　系統遭入侵

　　去年12月，一則京東12G用戶信息被明碼標價售賣的新聞在網上“刷屏”。被泄露的信息，包含用戶名、密碼、郵箱、電話號碼、身份證信息等多個方面。京東就此發布聲明，稱售賣的信息源于2013年黑客對系統安全漏洞的攻擊。

　　近年來，個人信息匯集的電商平臺，成了信息泄露“重災區”。尤其在海淘流行的當下，很多平臺以“清關”為由，要求用戶上傳身份證信息。這導致其成為不法分子眼中的“肥肉”，安全防御系統屢屢遭到“入侵”。

　　根據《中國網民權益保護調查報告(2016)》，有51%的網民在網購中遭遇“個人信息泄露”，因個人信息泄露等遭受的經濟損失數目驚人。

　　“一些互聯網服務的提供者，會要求用戶進行實名注冊并填寫真實信息，而不法分子則利用平臺的系統漏洞，通過惡意攻擊、病毒軟件等手段獲取用戶的個人信息。”朱巍說。

　　同樣掌握大量用戶個人信息的出行類、餐飲類等移動互聯網應用，也被不法分子視為“獵物”，亟待加厚安全盾牌。共享單車OFO公關總監史少晨透露，OFO技術團隊一方面不會向第三方公開或透露用戶個人信息，另一方面也采取專業加密存儲與傳輸方式，加大保障用戶個人信息安全。

　　《關于促進移動互聯網健康有序發展的意見》指出，要敦促移動互聯網企業切實履行用戶服務協議和相關承諾，提供更加安全的產品和服務。

　　今年1月，工信部發布《關于印發信息通信行業發展規劃(2016—2020年)的通知》強調，強化大數據場景下的網絡用戶個人信息保護能力，督促電信和互聯網企業切實落實用戶個人信息保護責任。

　　“2017年6月1日將開始施行的《網絡安全法》，要求互聯網企業運營者建立健全信息保護制度。一些擁有海量用戶信息的互聯網平臺將可能被納入關鍵信息基礎設施范疇，在個人信息采集、利用和保護方面也將面臨更高的監管要求。”惠志斌說。