电商企业信息安全现状

从电商企业角度来看,虽然电子商务发展带来了极大便利,但也给黑客的入侵提供了契机。电子商务面临着严峻的安全考验,其安全现状不容乐观,如图1所示。

电商企业信息安全现状

图1 常见安全问题

1.业务阻断

通过技术手段阻断用户对网站的正常访问,DDOS(Distributed Denial of service,分布式拒绝服务攻击)是最常见的一种。黑客会通过肉鸡(被植入木马、可远程控制的计算机)远程控制成千上万台电脑同时访问某个网站,使得瞬间访问容量超出电商网站所能容纳的上限,这时候就会造成网站瘫痪,给电商带来巨大损失。对于大型电商企业,可以通过购买防DDOS设备和带宽来对抗攻击,但需要投入大量资金,而遭受攻击的原因往往是黑客对电商进行勒索或者竞争对手对其进行攻击。

2012年6月,乐蜂网遭到DDOS攻击,整个机房都被攻击瘫痪,攻击流量基本上都是国内流量,有明显证据显示是雇主花钱找黑客所为。

2.服务器/网站被植入木马后门

通过各种手段,服务器被黑客植入木马后门程序,轻则电商网站被挂马,作为一个木马的传播平台,影响电商网站的名誉,重则黑客完全控制服务器,泄露机密数据。

某知名电商网站服务器被植入后门程序,黑客可以实时查看数据库订单信息,把信息卖给诈骗团伙,诈骗团伙通过获取的实时信息对买家采取各种手段诈骗,导致大量用户受到诈骗,损失巨大。诈骗团伙首先冒充网站客户,以“维护升级,订单无效,需退款”的理由给网站用户打电话,同时将用户所购商品的名称、订单号、快递信息报得一清二楚,打消用户疑虑,最终通过钓鱼网站把用户的银行卡洗劫一空。

3.漏洞入侵

通过漏洞(公开或未公开)获取服务器权限,窃取数据库信息,如客户的用户名、密码、订单号、银行账号等,还有商家的协议、合同、银行的指令和认证等,这使得用户交易信息的安全更加得不到保障,甚至可以篡改商品价格,引起用户哄抢。

2014年10月以色列的AppSec公司表示,曾发现了阿里巴巴网站代码上的一处漏洞,黑客可以借此漏洞劫持商户的账号。AppSec的创始人艾尔兹·梅图拉称:“如果我想买一部600美元的手机,我可以把价格改到1美元再买下它。我能看到人们买了什么,我能更改发货地址,让东西发到我这来而不是真正的买家那里。”后来,阿里巴巴发言人默里·摩根表示:“漏洞已经修复,我们会尽一切可能确保平台拥有安全的交易环境。”

电商巨头阿里巴巴都面临着漏洞入侵的危险,更何况其他小型电商企业了。

4.自身安全体系不健全

由于自身安全体系建设不健全,造成机密信息泄露,常见的情况有以下几点:

·许多电商网站系统架构设计不合理,数据访问层和业务层并未分离设计,导致机密数据泄露。

·许多电商网站对会员信息资料使用的是明文而非加密的保存方式,导致数据库泄露后,信息就泄露,曾经泄露的京东商城的数据库信息早期就采用明文保存,后来改成了加密方式保存。使用加密方式保存,即使泄露后也加大了黑客破解的难度,从而降低数据完全泄露的风险。

·许多电商企业并没有对网站及服务器采取任何安全防护措施,导致稍微懂点攻防技术的黑客就能轻而易举地入侵电商服务器。

·电商企业内部多数技术人员都拥有访问后台会员数据的权限,一些业务部门也可以得到这些访问权限。这样不仅内部员工可能造成数据泄露,而且黑客通过入侵员工的计算机而获得访问后台的权限。