在数据泄露的过程中,数据保管者有着不可推卸的责任。
乌云网合伙人邬迪告诉21世纪经济报道记者,几乎每一个网站都可能存在漏洞。漏洞是造成泄露的一大因素,乌云网建立的初衷之一就是为了减少因漏洞造成的泄露,在泄露之前对漏洞曝光,并通知厂商及时修补。
邬迪表示,国内企业的安全意识并不强,一开始,很多企业在被通知漏洞后会选择置之不理,这是造成之后信息被泄露的原因之一。
21世纪经济报道记者梳理了以往发生的信息泄露事件,一些漏洞引起的问题反复出现。
如此前被乌云网频频爆出漏洞的12306网站,并非首次出现用户信息泄露事件,漏洞却迟迟未修复。
再比如,2014年3月22日,乌云漏洞平台发布消息称,携程系统存在技术漏洞,可导致用户个人信息、银行卡信息等泄露。漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码以及银行卡6位Bin(用于支付的6位数字)。而在此之前,携程信息安全漏洞事件就已经多次发生,其中2014年1月,在被媒体指出储存信用卡敏感信息存在泄露风险时,携程网回应称采用的信用卡支付方式符合国际惯例。
业内人士分析,企业数据安全意识不强、惩处机制的不明是导致企业在漏洞发生后没有及时修补的原因之一。
另外,数据库的设计缺陷也是数据可能泄露的原因。一位数据库的设计人员告诉21世纪经济报道记者,一些公司寻找第三方设计数据库,确实存在泄露的风险。双方在合作之前,一般会签署保密协议,但由于设计者可以看到客户的核心数据,因此数据是否泄露,不仅要看保密协议,还要看设计者的人品。
一位创业公司的负责人告诉21世纪经济报道记者,公司的数据库自己设计,其考量的因素就是担心核心用户数据泄露。
政府网站同样是高危行业,一位白帽子告诉21世纪经济报道记者,他们一般只去测试省级政府网站的漏洞,更低层级的政府网站漏洞甚至可能找不到负责人。有些网站的技术水平,在他们看来根本达不到采购中所需耗费的价格。
相对乐观的是,随着大数据和移动互联网在各行各业的深入运用,很多厂商的信息安全意识都在提高,表现之一是在接收到漏洞举报后大多会及时修补。而发现和举报漏洞的白帽子人才市场一旦形成,从事黑产的人就会越来越少。
“让黑产上的人变成白帽子,这是未来的方向。”一位白帽子对21世纪经济报道记者说。