为何个人资料外泄事件像极了不可解的X档案?

 为何个人资料外泄事件像极了不可解的X档案?让我们一起从2009年第一条震惊产业界的资料外泄事件谈起:战国策外泄4,270笔客户订单数据。

 

    战国策外泄客户订单等数据一事发生至今,仅战国策的客户、其他主机代管业者以及信息安全专家先后针对该事件表示看法,如战国策客户不满战国策无主动告知该事件,以及信息安全业者呼吁战国策客户以更换密码等方式避免恶意份子窜改其数据等;反观战国策,其除要求Google移除相关数据,以及对外表示正在追查促发该事件发生的原因外,无其他解释。

 

    战国策对该起资料外泄事件的做法是─不大积极的亡羊补牢。发现资料外泄状况后,战国策除赶紧请Google移除相关信息(先补墙防止发生更多问题)外,对于那些可能恐已被狼群(黑客等恶意份子)刁走的亡羊、或者是还在栅栏内的羊群(问题一),可能因为数量过多且无法稽核等,战国策是以不变应万变,如未在第一时间告知客户发生该起事件等,至于其计划如何补强栅栏(问题二)等,只能说,战国策真的是保密到家,完全不对外透漏任何风声(问题三)。

 

    问题一:未告知导致客户无法自防。

    由于战国策未通知,客户对于公司名称、联络人姓名、身分证字号、电话、地址、电子邮件、交易方式、金额、主机方案,以及代管主机的IP地址、账号、密码、域名等信息都赤裸裸的暴露在因特网上可能浑然无所觉,更不用说有任何因应之道。

 

    问题二:无后续因应之道恐导致业务销售成绩下滑。

    截至今日,战国策仍未对外表明后续因应之道,如其将如何强化信息安全防护机制等,这除影响战国策在(虚拟)主机租赁服务市场的名声外,亦可能导致既有与潜在客户对战国策的信任感逐渐下降,以及思考是否该使用战国策的主机租赁服务。

 

    问题三:委外服务市场恐因此受影响。

    根据IDC与MIC等市调单位的报告,2009年,基于降低信息营运成本等考虑,委外、租赁或代管等服务极可能成为市场宠儿,但上述市场状况极可能在虚拟主机租赁服务业者─战国策爆发个人资料外泄事件而趋缓。可以想见,委外、租赁或代管业者会积极于向企业客户证明其的信息安全防护机制有多严谨,但,业者所提供的信息安全防护机制是否真为企业所需?又该由谁来稽核所言不假?

 

    不只战国策,甚少有人清楚表示其是如何处理个人资料外泄事件。回顾2008年发生过的资料外泄事件─金石堂与诚品书局等书局传出会员个人资料外泄、6月国中基测31万考生资料遭窃、7月职训e网9万笔个人资料外泄等…现在,让我们一起来回想一下:有几个单位曾在事发后主动对外表示其计划如何「解决」上述问题,而非对外澄清该事件没想象中严重?

 

    不公开绝对不是最佳信息安全防护方式。犹记,笔者在2年前因服务器虚拟化技术专题至战国策采访时,战国策技术部主任胡邦元即曾直接对笔者说:基于安全考虑,无法提供详细(或简易)的战国策内部信息系统架构示意图,在那个时间点,笔者认为他说的很对。

 

    现在,我依旧觉得他的坚持没错,但只坚持不公开信息系统架构等可能有点不够,以这次的资料外泄事件来看,根据媒体报导,导致这起客户资料外泄事件的原因可能是战国策员工使用的浏览器安装了类似Google Toolbar的工具软件…我们或许可以这样说:为避免企业形象与业务营运绩效会受到资料外泄等事件的影响,企业除得循序部署合宜的信息安全防护系统架构外,还得确定相关人员(内部员工与外部合作伙伴)对信息安全防范有一定程度的了解;毕竟,无论信息安全系统如何健全、自动化,仍需“人员”操作相关系统。

 

    除了部署健全的信息安全防御系统架构、适时的信息安全观念倡导外,当企业是否能以主动积极的态度与行动面对突发的信息安全事件:对外(客户)解说因应之道,以及对内(系统与人员)进行稽核与改善,亦极重要…当然,要做到上述动作,一开始一定会有不小的挑战(尤其在亚洲这种严守家丑不可外扬的地区),但上述这种从作中学的做法确实有助于企业精进信息安全防御机制,至少,企业新进信息人员可透过详尽的信息安全报告了解企业曾遭遇过哪些信息安全问题。

 

作者:蔡宜秀

来源:51CTO

时间: 2024-10-05 01:32:12

为何个人资料外泄事件像极了不可解的X档案?的相关文章

黑客攻击日本三菱重工下属军工企业资料外泄

[<财经>综合报道] 综合媒体20日报道,日本军工生产企业三菱重工旗下打造潜舰.生产导弹.以及制造核电站零组件等工厂的电脑网络遭到黑客攻击,并有资料可能外泄,这是日本国防产业首度成为黑客攻击目标. 旗下多厂遭入侵 资料外泄 日本<读卖新闻>19日引述知情人士的消息指出,在这次网络攻击事件中,该公司电脑系统中的资料已被窃取. 消息人士称,"爱国者"地对空导弹和AIM-7"麻雀"空对空导弹等武器的生产商三菱重工业公司,其电脑近期遭黑客入侵,总社加

黑客入侵智利政府系统 600万公民资料外泄

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 新华网圣地亚哥5月11日电 据智利媒体11日报道,黑客侵入智利政府电脑系统,致使600万名公民个人资料外泄. <信使报>报道说,黑客侵入智利教育部.军方和选举部门电脑系统,盗走大量公民个人资料,并于9日将大约600万人的身份证号码.住址.电话号码.电子邮件地址和教育背景在网上张贴. 这些个人资料很快被有关部门从网上删除,报道援引警

黑客攻击日本三菱重工下属军工企业 资料外泄

日本军工生产企业三菱重工旗下打造潜舰.生产导弹.以及制造核电站零组件等工厂的电脑网络遭到黑客攻击,并有资料可能外泄,这是日本国防产业首度成为黑客攻击目标. 旗下多厂遭入侵 资料外泄 日本<读卖新闻>19日引述知情人士的消息指出,在这次网络攻击事件中,该公司电脑系统中的资料已被窃取. 消息人士称,"爱国者"地对空导弹和AIM-7"麻雀"空对空导弹等武器的生产商三菱重工业公司,其电脑近期遭黑客入侵,总社加上8处制造及研发据点共80部服务器和个人电脑遭殃,涉及

韩国网络实名制面临废弃 频发用户信息外泄事件

大量个人信息一旦泄露 很容易被犯罪分子利用 韩国是世界上互联网服务最发达的国家之一,率先实施了网络实名制.然而随着公众对个人信息安全的忧虑不断上升,网络实名制是否合理也成了当地社会一个热点话题,政府方面在公众舆论压力下已开始重新审视这一互联网管理制度的存废问题. 网络实名制在某种程度上,确实有利于减少欺诈.诽谤.人身攻击等恶性事件的发生.韩国当局为具体实施这一制度,还专门设立了伦理委员会等专门的执法部门,它们可根据网上侵权行为的记录进行责任认定和查处.有了良好的网络环境,韩国不但能更好地发展互联

Facebook被指存个人资料外泄及隐藏收费陷阱

11月20日早间消息,据台湾媒体报道,中国台北市有关部门昨日表示,市民使用Facebook在玩开心农场.做心理测验等外挂游戏程序的时候,可能泄漏个人资料,甚至遭遇隐藏收费陷阱,提醒消费者维护自身权益. "台北市法规会主委"叶庆元昨日举行记者会指出,有民众投诉,10月初在Facebook玩"开心水族箱(MyFishbowl)"游戏时,为免费获取元宝,依系统指示输入手机号码,却在10月底收到新台币300元的短信费用账单. 叶庆元表示,Facebook网站平台提供上千种计

域名清单外泄事件持续发酵 .wang或成投资新贵?

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 近日,某知名论坛曝出的.wang域名投资清单外泄事件,被好事网友广泛扩散,事件影响持续发酵,已引起多名域名投资者及相关1782.html">品牌企业的关注. 此次域名投资清单外泄事件影响到底有多大?一位从事域名投资行业多年的专业人告诉记者:"域名就好比企业的品牌,具有唯一独特标识性,不可复制,在愈加发达的互联网时代,

jquery移除、绑定、触发元素事件使用示例详解

 这篇文章主要介绍了jquery移除.绑定.触发元素事件使用示例详解,需要的朋友可以参考下  代码如下: unbind(type [,data])     //data是要移除的函数 $('#btn').unbind("click"); //移除click $('#btn').unbind(); //移除所有     对于只需要触发一次的,随后就要立即解除绑定的情况,用one()    代码如下: $('#btn').one("click",function(){.

JQuery在循环中绑定事件的问题详解_jquery

有个页面上需要N个DOM,每个DOM里面的元素ID都要以数字结尾,比如说 <input type="text" name="username" id="username_1" value="" /> <input type="text" name="username" id="username_2" value="" />

JavaScript中的事件绑定的详解

给 DOM 元素绑定事件分为两大类:在 html 中直接绑定 和 在 JavaScript 中绑定. Bind in HTML 在 HTML 中绑定事件叫做内联绑定事件,HTML 的元素中有如 onclick 这样的 on*** 属性,它可以给这个 DOM 元素绑定一个类型的事件,主要是这样的: <div onclick="***">CLICK ME</div> 这里的 *** 有两种形式: 用字符串表示一段函数: <div onclick="v