40万条客户信息被泄露,企业如何有效防范员工成内鬼?

据新京报报道,邯郸市公安局近期侦办的一块儿案件中,发现不法分子与快递企业多位“内鬼”勾结,经过有偿租用快递企业员工系统帐号,盗取公民我的信息,再层层倒卖公民我的信息至不一样下游犯罪人员安全

据警方透露,犯罪嫌疑人实际上是直接以每日500元的费用租用某物流公司内部员工系统帐号,再雇人登陆帐号进入快递企业后台物流系统,进行快递信息的批量导出。这些窃取的快递信息被从新打包以后,经过各类渠道销售给东南亚电信诈骗团伙。加密

image

实际参与这起案件的企业“内鬼”共有5人,分布在邯郸和邢台两市的5个网点。被泄露的信息包括发件人和收件人地址、姓名、电话共六个维度。不过,幸运的是,被泄露的信息大部分是以“”来匿去的“不彻底信息”,例如发件人为“张三”,发件电话却为“”。spa

根据快递企业公布的官方信息:早在7月,就已发现了相关犯罪事实,是快递企业内部的“物流风险控制系统”发现了员工帐号存在高危操做,即“对应网点员工帐号频繁查询其余网点运单信息”。快递企业随即关闭了风险帐号,而且成立了包括业务、安保、信息技术在内的调查组,最终经过相关调查取证,于9月成功捕获相关嫌疑人。设计

据统计,在这起安全事件中,共有超过40万条的信息数量被泄露,六个维度中包含的完整信息约为4.5万条。据不法分子供述,收集到的信息被打包以大约单价1元卖出。涉案金额总计约120万元。blog

01事件

安全不该成为企业数字化的“拦路虎”

快递运单信息泄露问题由来已久,尤为是在纸质机打甚至手写面单的年代,面单的回收管理极难实现,信息的隐私性压根没法保证。伴随着快递企业的高速数字化,电子面单的出现实际上已经解决了至关多的问题。简单来讲,数字化的面单不存在是否须要回收的问题,收件人的相关信息也能够利用数字化的手段,以不完整但可确认的形式出现。2014年加入腾讯安全,拥有多年移动安全实践,专一企业移动化业务安全的腾讯安全专家杨启波表示:ip

在此次的事件中,数字化让企业可以创建“物流风控系统”这样的安全系统,发现跨网点查询面单信息这样的异常操做,并在过后固定证据并帮助抓捕不法分子,都是巨大的进步。可是,在推动数字化的同期,如何作好安全建设将是更为关键的一点。

在谈及目前快递行业还在持续推动的隐私信息加密处理时,杨启波表示:it

这种方式可以实现对用户数据必定程度上的保护,其核心在于企业数据安全治理方案可否根据数据的敏感程度进行分层分级,以及可否经过产生于不一样业务场景下的数据是实现对用户信息的完整拼凑。这其实代表了一个事实:快递企业除了须要创建严密的风险控制系统以外,还须要对数据安全进行加固,保障数据风险的可控及可审计。

02class

企业数字化建设须要重视零信任机制

杨启波指出,企业除了合规建设和系统预警等常态机制外,还须要关注企业业务系统访问链条的动态鉴权和动态行为监控、预警、阻断,这也是形成这次事件的主要缘由之一。不法分子以多个网点为据点的散布攻击形式,使其有机会在不触动相关高危操做警报的前提下,完成各个网点内信息的收集,企业每每只能过后审计发现问题。登录

image

对于可能出现的更为狡猾的不法攻击,杨启波表示:

要真正保障快递企业隐私信息的安全, 除了基础合规体系之外,企业应该采用“零信任”安全机制。不信任任何访问,对每次访问作到严格鉴权监控。经过多因素认证验证访问者真实身份以后,再开放系统访问权限,并作好全程访问过的实时风控,对访问者真实身份(身份识别/多因素认证)、访问频次/地点/行为特征等进行实时预判,以在第一时间发现风险并切断访问来源

技术的发展,以及企业业务复杂程度的提高,势必将衍生出愈来愈多的安全风险。在这过程当中,企业应当更加关注业务全流程中的风险点,最大限度地减小攻击面。而这一目标的实现须要的是一个系统的规划和设计,即在安全顶层设计时,就将使用者身份可信、应用链接安全、云应用安全控制等一并考虑在内,从而打造出一个贯穿整个业务流程的安全控制闭环。

相关文章
相关标签/搜索