携程“泄密门”:安全漏洞背后 机制漏洞危害更大
2014/4/14
就如同硬币的两面,科技发展给人带来便利的同时,各种烦恼也如影相随!
日前,知名互联网公司携程爆出“泄密门”,引发携程用户恐慌。随着移动互联网全面深入到人们生活的各个领域,移动互联网在带给人们诸多便利的同时,也给用户增加了诸多的烦恼,其中,个人资料泄露就是用户最为担心的隐患。携程“泄密门”也不过是近两年以来不断出现的互联网公司泄露用户信息的最新案例。
用户对自己的私人信息之所以越来越关注,是因为此前的私人信息更多涉及的只是个人隐私,而如今则更多地与个人财产安全这一核心利益密切相关。谁也不愿看到,自己银行卡里的资金一不小心就成为别人的囊中之物;谁也不愿看到,自己深藏在内心深处的隐私被大白于网络,变成“浴缸里的金鱼”。
从这两年不断爆出的互联网公司用户信息资料泄密事件来看,几乎都有一个共同的特点,那就是漏洞都是第三方发现,然后互联网公司站出来解释“问题不大”、“问题已经解决”云云,没有一起泄密事故是互联网公司自己发现并妥善解决的(或许互联网公司发现了漏洞但悄无声息地解决掉了,用户并不知情),也没有哪家互联网巨头因为用户资料信息泄露而受到重罚。通过分析这两年互联网公司泄密案,不难得出这样的结论:比安全漏洞危害更大的是机制漏洞。
以这次携程“泄密门”为例,之所以会发生这样的事情,并不是什么高深的技术问题,也不是因为有黑客高手在入侵,只是因为携程技术人员在做调试的时候没有断网,这就如同电工带电操作一样。犯下如此低级的错误,显然不是技术层面的原因,而是管理方面的问题。而此前多次出现的互联网公司用户资料信息“泄露”事件,很多也都是因为工作人员的疏忽大意造成的。相比金融、电信等公司十分严格的安全制度,高速发展的互联网企业在安全意识上显然还有相当大的差距,在安全制度建设方面也普遍存在不足,缺乏一整套成熟的安全运行机制。
除了安全运行机制的缺位之外,安全事故发生后企业的应对机制也明显不成熟。携程“泄密门” 发生后,携程方面开始是遮遮掩掩,后来是轻描淡写地表示并没有给用户造成实际损失,且给93名存在资料信息泄露风险的人赔付了500元作为“安慰”。事情正按照此前发生泄密事故后的“正常程序”在走,最后的结局很可能又是不了了之。而数千万携程用户的担惊受怕,并没有得到妥善的安抚。显然,这样的应对方式,在用户越来越重视个人信息资料的今天,已经很难让用户满意。
此外,相关法律制度的缺席,也让企业和用户在遭遇各种“泄密”事故之后,缺乏应对的“准绳”。美欧、日韩等法制完善的发达市场,相关法律条文将责任划分得十分清晰,企业将承担什么样的责任,用户会得到什么样的赔偿,都有一个较为明确的预期。反观国内,呼吁了多年的“个人信息安全法”直到目前还没有出台,用户要向相关责任企业讨说法,也往往“无据可依”,只能像祥林嫂一样在网络上“诉苦”。
不确定性是最大的不安全因素,用户之所以对信息泄密如此惴惴不安,就是担心自己的财产发生损失后、或者隐私被泄密之后,不能明确知道自己能否追回这些财物,能否因名誉受损而得到相应的赔偿。在缺乏法律保护的前提下,用户能够选择的,就是用脚投票。携程“泄密门”发生后,很多携程用户纷纷要求解除与信用卡的捆绑,就是最好的说明。
再好的防护都会存在安全漏洞,寄希望于一套系统能够全部解决安全问题显然是天方夜谭。弥补这一漏洞最好的方式,就是较为完善的机制。企业需要制定完善的安全制度并严格执行,这样就能让人为失误大幅降低;需要建立完善的事故应对机制,这样才能在事故发生后从容应对。国家也应该尽快出台相应的法律法规,让企业和用户都能有法可依,有准绳可参考。
比安全漏洞危害更大的是机制漏洞。在呼吁进一步加强技术防范的同时,更需要加强机制建设。唯如此,数以亿计的互联网用户,才不会每天为自己的信息安全而惴惴不安。
日前,知名互联网公司携程爆出“泄密门”,引发携程用户恐慌。随着移动互联网全面深入到人们生活的各个领域,移动互联网在带给人们诸多便利的同时,也给用户增加了诸多的烦恼,其中,个人资料泄露就是用户最为担心的隐患。携程“泄密门”也不过是近两年以来不断出现的互联网公司泄露用户信息的最新案例。
用户对自己的私人信息之所以越来越关注,是因为此前的私人信息更多涉及的只是个人隐私,而如今则更多地与个人财产安全这一核心利益密切相关。谁也不愿看到,自己银行卡里的资金一不小心就成为别人的囊中之物;谁也不愿看到,自己深藏在内心深处的隐私被大白于网络,变成“浴缸里的金鱼”。
从这两年不断爆出的互联网公司用户信息资料泄密事件来看,几乎都有一个共同的特点,那就是漏洞都是第三方发现,然后互联网公司站出来解释“问题不大”、“问题已经解决”云云,没有一起泄密事故是互联网公司自己发现并妥善解决的(或许互联网公司发现了漏洞但悄无声息地解决掉了,用户并不知情),也没有哪家互联网巨头因为用户资料信息泄露而受到重罚。通过分析这两年互联网公司泄密案,不难得出这样的结论:比安全漏洞危害更大的是机制漏洞。
以这次携程“泄密门”为例,之所以会发生这样的事情,并不是什么高深的技术问题,也不是因为有黑客高手在入侵,只是因为携程技术人员在做调试的时候没有断网,这就如同电工带电操作一样。犯下如此低级的错误,显然不是技术层面的原因,而是管理方面的问题。而此前多次出现的互联网公司用户资料信息“泄露”事件,很多也都是因为工作人员的疏忽大意造成的。相比金融、电信等公司十分严格的安全制度,高速发展的互联网企业在安全意识上显然还有相当大的差距,在安全制度建设方面也普遍存在不足,缺乏一整套成熟的安全运行机制。
除了安全运行机制的缺位之外,安全事故发生后企业的应对机制也明显不成熟。携程“泄密门” 发生后,携程方面开始是遮遮掩掩,后来是轻描淡写地表示并没有给用户造成实际损失,且给93名存在资料信息泄露风险的人赔付了500元作为“安慰”。事情正按照此前发生泄密事故后的“正常程序”在走,最后的结局很可能又是不了了之。而数千万携程用户的担惊受怕,并没有得到妥善的安抚。显然,这样的应对方式,在用户越来越重视个人信息资料的今天,已经很难让用户满意。
此外,相关法律制度的缺席,也让企业和用户在遭遇各种“泄密”事故之后,缺乏应对的“准绳”。美欧、日韩等法制完善的发达市场,相关法律条文将责任划分得十分清晰,企业将承担什么样的责任,用户会得到什么样的赔偿,都有一个较为明确的预期。反观国内,呼吁了多年的“个人信息安全法”直到目前还没有出台,用户要向相关责任企业讨说法,也往往“无据可依”,只能像祥林嫂一样在网络上“诉苦”。
不确定性是最大的不安全因素,用户之所以对信息泄密如此惴惴不安,就是担心自己的财产发生损失后、或者隐私被泄密之后,不能明确知道自己能否追回这些财物,能否因名誉受损而得到相应的赔偿。在缺乏法律保护的前提下,用户能够选择的,就是用脚投票。携程“泄密门”发生后,很多携程用户纷纷要求解除与信用卡的捆绑,就是最好的说明。
再好的防护都会存在安全漏洞,寄希望于一套系统能够全部解决安全问题显然是天方夜谭。弥补这一漏洞最好的方式,就是较为完善的机制。企业需要制定完善的安全制度并严格执行,这样就能让人为失误大幅降低;需要建立完善的事故应对机制,这样才能在事故发生后从容应对。国家也应该尽快出台相应的法律法规,让企业和用户都能有法可依,有准绳可参考。
比安全漏洞危害更大的是机制漏洞。在呼吁进一步加强技术防范的同时,更需要加强机制建设。唯如此,数以亿计的互联网用户,才不会每天为自己的信息安全而惴惴不安。
[向上]