7月27日举行的2017年网络安全生态峰会电商生态安全论坛上,电商生态安全联盟发布了2.5万余字的《电子商务生态安全白皮书》(下称《白皮书》),首次披露了上述中国电商的生态安全状况。
“很多人不同账号使用相同密码,而地下黑产掌握数十亿对账号密码关系,撞库、刷库所造成的账号被盗量,占整体被盗账号的80%,盗号所衍生的黑产业链年获利超百亿元。”
7月27日举行的2017年网络安全生态峰会电商生态安全论坛上,电商生态安全联盟发布了2.5万余字的《电子商务生态安全白皮书》(下称《白皮书》),首次披露了上述中国电商的生态安全状况。
《白皮书》从电子商务生态行业内平台、商家、ISV、物流等多维度,分析了电商生态中的基础网络、系统应用、数据、业务等安全风险。
与消费者关系最为直接是,当属数据泄露、账号被盗、敲诈勒索等风险。
49%数据泄露是内鬼导致
《白皮书》介绍,电子商务数据安全风险主要包括数据泄漏、数据篡改、数据可用性、数据污染、数据误用等安全风险。
数据泄露风险中,内鬼类风险导致的信息泄露事件占比为49%。随后是账号类、系统漏洞类和木马类风险,分别占比为16%,12%,14%。可以看出数据安全风险主要还来自与人有关系的风险。
《白皮书》指出,针对账号被盗途径风险占比中,通过撞库和刷库的事件占比达到80%之高。撞库和刷库事件是账号被盗取的主要风险因素。
物流临时工需加强监管
物流行业的数据安全风险在整体的信息泄露风险中占比较大。
《白皮书》指出,由于物流较大部分采取加盟模式,以及部分仓库、网点存在仓内局域网作业的情况,所以应用系统呈现多级数据存储的架构,极大增加了数据管理的复杂度。
同时,从业人员流动性大,尤其是在历年大促期间,大量临时的分拣、派件的人员加大了电商交易信息在物流环节发生信息泄漏的不可控因素。常见的人员问题如面单拍照,账号买卖,内部人员批量数据导出等。
敲诈勒索事件频发
《白皮书》指出,电商欺诈主要集中在北京、上海、广东、浙江、江苏等经济较发达省市,诈骗来源分布主要集中在福建和广东。电商日常敲诈勒索事件占所有恶意行为事件的比例最大,达到38%。
《白皮书》还指出,恶意行为风险指的是用户以非实际需求,以不正当理由、甚至违法行为获利最终导致商家、消费者或平台经济损失。
在恶意行为中,常见的恶意行为有:黄牛、恶意骚扰、敲诈勒索、恶意投诉、恶意下单、恶意退款、恶意评价等数十种类型,在每个电商平台上的表现形式不一,获利方式往往是大量抢购低价营销商品或市场紧缺型商品(如iPhone新品发布)、敲诈勒索钱财、骗取获取或赔付等等,此类风险往往是单次获利不高但通过大量账号可以获得可观收益,例如电子商务生态业内通常所说的薅羊毛;该产业遍布各大电商平台,小到一分两分的积分,大到飞机票火车票都是该产业的目标之一,整体产业规模上百亿。
日常情况中,敲诈勒索事件占据比例很大,达到38%。恶意退款和恶意评价分列到第二和第三位,分别占比为15%,16%。
电商联盟抱团抵御风险
“单一、传统的安全防御手段,已不足以保护电商行业的自身发展,需要有一种新的模式,让电商行业内的安全资源互补,共同抵御日益严峻的网络安全问题。”电子商务生态安全联盟常务理事长、阿里巴巴集团安全部研究员张玉东表示。
正是基于以上考虑,2016年7月13日,阿里巴巴发起并成立“电子商务生态安全联盟”(Security Alliance of E-Commerce Ecosystem,下称SAEE)。
SAEE针对生态圈内各个伙伴的安全需求,量身定制了6项安全标准,规范行业内的数据安全管理,目前联盟标准覆盖的ISV(独立软件提供商)应用总订单占比达95%。
目前SAEE已吸纳35家有行业影响力的ISV服务厂商、物流公司、商家等生态合作伙伴加入联盟。
(编辑:陈洁)
21世纪经济报道及其客户端所刊载内容的知识产权均属广东二十一世纪环球经济报社所有。未经书面授权,任何人不得以任何方式使用。详情或获取授权信息请点击此处。
分享成功