“拖库”指黑客攻击网站漏洞,窃取包含用户注册邮箱和密码的数据库。例如此前CSDN、天涯等多网站用户密码库泄露。
“扫号”指黑客将数据库聚合在一起,专门针对知名电商网站自动化批量登录。如果用户在不同网站都使用相同的注册邮箱和密码,一旦有一家网站被黑客拖库,那么该用户的所有账号都面临被盗风险;
黑客销赃的手段则包括消费受害者账户余额、截取商品,收集受害者电话、地址等个人资料,进行诈骗活动。
“在CSDN等多网站“泄密门”爆发后,网上公开的注册邮箱和密码达到上亿条,而黑客团伙实际掌握的数据库规模可能远远超过这个数字。”安扬表示。
那么电商网站和消费者该如何加强网络信息安全的防范呢?
安扬建议,“电商网站重要数据库应加密保护,把黑客拖库的风险降到最低;建立成熟的反盗号体系,能够监测并防范黑客以自动化登录方式批量盗号。”
金山毒霸工程师李铁军补充道,电商公司应该组建专业安全团队,联合第三方安全厂商协同保护网站安全。从制度上防止未经授权的员工不恰当地下载复制用户数据。
同时他建议,个人用户应该对常用的互联网服务分类管理,把重要的和一般的服务分开。
重要服务,比如工作邮箱、私人关键邮箱、淘宝、支付宝、网银,或其他B2C网购服务。必须确保一个服务一个密码,不得混用。
一般服务,尽量使用QQ或微博授权登录,或者共用密码都不会有大的危害,在这种服务上,尽可能隐藏自己的个人信息。
中国互联网协会信用评价中心法律顾问赵占领曾公开表示,目前我国尚缺专门保护公民个人信息的法律,消费者隐私权很难获得有效的法律保护。如果无法证明个人信息如何泄漏,很难证明损失了多少。目前的监管更多靠社会举报,政府部门才会介入。
赵占领为此建议,对严重侵犯消费者个人信息的侵权行为,消费者可以请求消协提起公益诉讼。