手机应用隐患 企业内鬼作祟 防范不足遭侵

信息泄露三大缺口诱发“精准诈骗”(问诊移动互联短板系列报道②)

近期，涉及互联网安全的报告频频公布，凸显个人信息安全风险。《中国网民权益保护调查报告(2016)》数据显示，网民“个人身份信息”泄露最为严重，占比72%，其次为“个人网上活动信息”泄露，占比54%；《2016年中国网站安全漏洞形势分析报告》披露，2016年仅全球最大漏洞响应平台补天平台收录的漏洞中，就有1700余个漏洞可造成个人信息泄露，可泄露信息规模达50余亿条……

一些手机应用暗藏风险隐患，一些企业个别“内鬼”兴风作浪，一些互联网公司安全防范不足……记者调查发现，移动互联网时代，信息安全防范频现上述三大缺口，利用个人隐私泄露的“精准诈骗”屡屡发生。

今年1月，中办、国办印发的《关于促进移动互联网健康有序发展的意见》指出：“完善移动互联网用户信息保护制度，维护用户合法权益”。多措并举，对症下药，保护移动互联网时代的个人隐私安全，刻不容缓。

技术变“骗术”

应用藏风险

今年1月，北京协和医院发出声明：“‘北京协和医院—掌尚协和’为北京协和医院唯一官方APP。此外，凡是以北京协和医院名义从事预约挂号行为的APP与本院毫无关系。”

在各类手机APP便民利民的同时，一些山寨APP悄然现身。《中国网民权益保护调查报告(2016)》显示，超过50%的网民在使用手机APP的过程中遇到过用户信息被窃取的侵权情况，84%的网友亲身感受到了个人信息泄露所带来的不良影响。

中国政法大学传播法研究中心副主任朱巍认为，非法软件的存在和隐藏其中的恶意程序，使个人在手机中存储的几乎所有信息，都面临着被窃取盗用甚至成为非法交易对象的危险。用户信息泄露后，轻则接到骚扰电话，重则因网络电信诈骗蒙受损失。所有投放到市场的手机软件和应用，保证用户信息安全是最基本的一条底线。

除了“李鬼”APP登堂入室窃取个人信息，一些手机软件运用时的“额外要求”也极可能导致手机通讯录、个人位置等信息泄露。

“出门打车要授权调用位置信息，为什么玩个游戏都要知道我的位置信息？”近日，一名河北网友在被某游戏软件要求调用手机位置信息时发出这样的疑问。

根据去年6月网信办发布的《移动互联网应用程序信息服务管理规定》，移动互联网应用程序提供者收集、使用用户个人信息应当遵循合法、正当、必要的原则。一些手机应用收集“不必要”的信息，既不符合相关规定，也加重了个人信息的安全风险。

人人互联的时代，稍有不慎，风险也会“互联”。在咖啡厅、餐馆等公共场所，不法分子借助“提供免费无线”等幌子引诱用户手机连接具有安全风险的无线网络，进而通过技术手段获取用户上网时使用过的账号密码等信息。

“新技术应用被不法分子利用，就有可能演变为新骗术。这对保障个人信息安全提出了更高要求。”上海社会科学院信息安全研究中心主任惠志斌认为，除了发挥个人信息保护立法的基础性作用，管理部门也要跟上技术发展的脚步，及时出台标准规范引导企业合法合规的数据需求，既要通过监管斩断非法利益链条，也要依托产业持续提升数据生态保障能力。

企业存“内鬼”

骗局连环套

因为一条短信，一夜之间，支付宝、百度钱包、所有的银行卡信息都被攻破、所有银行卡的资金全被转移。在长达数小时的时间里，手机处于瘫痪状态，打不出电话……

这令人惊愕的真实案例，发生在2016年4月。

一位网友在“水木社区”发帖，称自己在地铁里因回复一条来自“1065800”的短信，输入验证码，从而掉进连环圈套。半小时后，手机无服务无法上网，眼看着一笔笔资金被转走而无能为力。恢复手机服务后，他发现自己的网银、支付宝的密码都已被篡改。

这位当事人至今心存疑问：究竟该找哪个机构交涉？

去年，山东临沂大学生小赵在某电子商城买了部手机，下单后第二天接到一个“130”开头自称客服的电话，说订单出现异常，只能货到付款；如同意只需填一下信息。小赵填完信息后，银行卡中近千元不翼而飞。经警方调查发现，该电子商城某配送站站长利用职务之便，进入内部管理系统，将订单资料截屏，并在网上以每条4元到6元的价格出售。

业内人士指出，客户信息一般只有内部员工才能接触到。之所以出现信息泄露，是因为少数利欲熏心的“内鬼”作祟，导致大量个人信息流入黑色产业链，成为被交易的对象。

全国人大常委会《关于加强网络信息保护的决定》第三条规定，“网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供”。

朱巍表示，对工作性质涉及用户数据的工作人员，应强化人员管理和资格审查，其对个人信息的调取权限应做到规范而具体。“一个优盘就可以拷走信息，一次离职就可能带走海量数据。对这类事情要做好事前预警，比如调取信息要实名等。此外也要加大对工作人员道德教育和事后处罚力度。”

防御带“硬伤”

系统遭入侵

去年12月，一则京东12G用户信息被明码标价售卖的新闻在网上“刷屏”。被泄露的信息，包含用户名、密码、邮箱、电话号码、身份证信息等多个方面。京东就此发布声明，称售卖的信息源于2013年黑客对系统安全漏洞的攻击。

近年来，个人信息汇集的电商平台，成了信息泄露“重灾区”。尤其在海淘流行的当下，很多平台以“清关”为由，要求用户上传身份证信息。这导致其成为不法分子眼中的“肥肉”，安全防御系统屡屡遭到“入侵”。

根据《中国网民权益保护调查报告(2016)》，有51%的网民在网购中遭遇“个人信息泄露”，因个人信息泄露等遭受的经济损失数目惊人。

“一些互联网服务的提供者，会要求用户进行实名注册并填写真实信息，而不法分子则利用平台的系统漏洞，通过恶意攻击、病毒软件等手段获取用户的个人信息。”朱巍说。

同样掌握大量用户个人信息的出行类、餐饮类等移动互联网应用，也被不法分子视为“猎物”，亟待加厚安全盾牌。共享单车OFO公关总监史少晨透露，OFO技术团队一方面不会向第三方公开或透露用户个人信息，另一方面也采取专业加密存储与传输方式，加大保障用户个人信息安全。

《关于促进移动互联网健康有序发展的意见》指出，要敦促移动互联网企业切实履行用户服务协议和相关承诺，提供更加安全的产品和服务。

今年1月，工信部发布《关于印发信息通信行业发展规划(2016—2020年)的通知》强调，强化大数据场景下的网络用户个人信息保护能力，督促电信和互联网企业切实落实用户个人信息保护责任。

“2017年6月1日将开始施行的《网络安全法》，要求互联网企业运营者建立健全信息保护制度。一些拥有海量用户信息的互联网平台将可能被纳入关键信息基础设施范畴，在个人信息采集、利用和保护方面也将面临更高的监管要求。”惠志斌说。