上网安全防不胜防!星巴克技术漏洞百万条信息遭暴露

2019-08-14 07:31阅读:

  编辑 | 于斌
  出品 | 于见(mpyujian)
  最近于见又看到了一条骇人听人的网络安全事件:近日研究人员透露,一个关键的SQL注入漏洞暴露了存储在星巴克企业数据库中的近百万条财务记录。
  不过这名叫Eugene Lim,又名spaceraccoon的技术高手,是在通过该公司在HackerOne上的bug赏金计划向星巴克报告该漏洞的。依靠这个漏洞报告,他还赚了4,000美元。 该安全漏洞于4月8日确定,并在两天内修补。 他向HackerOne提交的漏洞报告也于8月6日已公布。
  值得一提的是,4000美元是星巴克有史以来,通过其Bug奖励计划为关键漏洞支付的最高金额。这家咖啡巨头的平均奖金是250美元,迄今为止支付的总额超过了40万美元。
  于见看完这则新闻,不禁出了一身冷汗。所幸这个漏洞是尚且有一些“良心道德”的黑客为了赚取一些赏金,提前发现,主动提交漏洞报告给了星巴克。如果被更加贪婪的不法份子发现,偷偷恶意利用这些可以泄露的数据,去谋取一些私人利益,那恐怕又是一次震惊世界的大事件。
  如今,“互联网+”的浪潮让很多公司向高科技、大数据技术看齐,因此,也有越来越的企业希望能拥有更多线上数据,掌握更多客户的信息,从而名正言顺的做一个“互联网+”的大数据公司。但是大数据却像一袭华美的外衣,上面爬满了虱子。而我们作为互联网用户,可能不经意间就已经将个人信息暴露无遗,我们在一些互联网平台上,也俨然变成了一个透明人。
  有人戏称,在这个大数据时代,我们在互联网上的各种上网行为,无异于裸奔。其实,从我们每天看到各种所谓的信息流、瀑布流
互联网产品推荐的无限下拉、刷新的内容,就可以看出,如今的大数据技术有多么的恐怖。
  它可能知道你婚姻不顺,口袋缺钱,甚至可能分析出手机屏幕背后的你,是一个有1岁孩子的宝妈,所以每天给你推荐一些情感八卦、网贷借款、育儿百科的资讯,并用各种软硬兼施的套路,分分钟套走你口袋中为数不多的钱。
  其实,星巴克被网友曝出技术漏洞、发生数据泄露的事件,也不是第一次了。
  2019年5月11日,美国就发生过星巴克用户的信用卡被盗的事件。美国媒体报道称“信用卡黑客在全美攻击星巴克信用卡和移动支付用户。他们可以在不知道信用卡账号的情况下盗取信用卡金额。”
  而且, 陷入网络安全风波的不只是咖啡界巨头星巴克。早在2013年年底,美国零售巨头塔吉特(Target)宣布公司被黑客入侵,7000万的用户个人信息和4000万的信用卡数据被盗,涉及用户名、电话号码、电子邮箱和信息卡信息等隐私数据。
  按塔吉特当时公布的数据估计,这次泄密事件给塔吉特(Target)带来超过1.48亿美元的损失,并最终可能达到10亿美元。
  至今,美国折扣零售巨头公司的客户数据泄漏事件,始终是一个血淋淋的例子。其导致的结果是,1.1亿顾客的数据失窃事件爆发之后,12%的老顾客不再去塔吉特消费,而36%的零售商减少了购货频率。而那些继续在塔吉特购物的人中有79%不再使用信用卡消费了,取而代之的是使用现金。
  同时,为了减少客户的不满,塔吉特还将向个人受害者支付最高10000美元的的损害赔偿,并承诺增加数据安全保护措施。而对公司内部而言,因为这起安全事件,塔吉特辞退了时任CEO并重新任命一位首席信息安全官。
  无独有偶, 2018年3月17日,拥有20亿用户的Facebook也卷入了史上最大个人信息泄露风波。当时,有媒体报道,一家名为剑桥分析的英国公司,在未经用户许可的情况下违规获取Facebook上5000万名用户个人信息数据。3月22日凌晨,Facebook CEO扎克伯格在泄露丑闻后首次发声,他承认对Facebook数据泄露事件负有责任,并承诺将对开发者们采取更严格的数据访问限制。
  这次事件,是剑桥大学讲师通过一个性格测试应用收集到数据,并卖给了数据分析公司Cambridge Analytica。受此影响,Facebook19、20两日市值蒸发500亿美元,抹平该公司今年以来的全部涨幅。
  这整起事件最可怕之处,不只在于数据资料外泄的风险问题,而是Facebook早就意识到了对数据用于研究目的的第三方应用的存在。 只是这种潜在的数据泄露风险,一直没有得到根本的解决,也终于在若干年后的某一天,在意料之中突然发生了,而且影响力波及到了全世界。
  这些巨头公司的数据泄露,之所以引起轩然大波,也在提醒企业和用户,在万物互联的信息化时代,数据也可以很危险。伴随着大数据、云计算等技术潮流而来的,除了更强大的业务驱动,还有更大的风险,企业对用户数据的保护也是企业大数据战略中的重要成本。
  Facebook数据泄密事件持续发酵了很长一段时间,如果说账面上近千亿市值的损失还可估量,那么人心的向背,则是一向爱惜“羽毛”的扎克伯格所不敢估量的。
  Facebook作为世界上拥有20亿用户量的社交媒体巨头公司,一直因为其创始人的低调作风,产品平台的优质体验,在业界、乃至全球享有盛誉,而创始人扎克伯格也在网友心中有着某种被崇拜被信任的情感依托。
  但是这次事件,让人们不禁不对这家公司的诚信度提出质疑。而扎克伯格多年以来苦心经营的人设,也将因为此次事件带来不可估量的影响。
  谈及信息泄露对互联网个人用户的影响。当时,百度创始人李彦宏就针对网络安全事件,说了一句非常“客观”也令人印象深刻的话:“中国人很多时候愿意用隐私换取便利。”
  这句话,也许有在为互联网公司、大数据企业存在数据泄密风险开脱,甚至甩锅之嫌。但是,也确实暴露了国人面对个人信息,存在意识不够、认知度不高的现实问题。
  因此,曾经靠免费杀毒软件起家,快速抢占浏览器市场的奇虎360公司,在互联网刚刚兴起的那几年,就瞄准了互联网安全这个庞大的市场,吃准了这个当时还无人涉足的大蛋糕。而360旗下的互联网产品、IT工具,90%以上也与互联网安全有关。
  哪里有需求,哪里就有市场,虽然在现在这个大数据时代,互联网安全只是一个相对的概念,但是并没有影响360成为一家以互联网安全为定位的成功企业。
  就拿杀毒来说,在过去360还没有垄断安全市场的时候,似乎我们的电脑总有杀不完的病毒,清不完的缓存。但是,自从我们大多数网民都装上了360浏览器,貌似这个世界从此安宁了,顽固不化的病毒也似乎从我们的电脑和互联网世界里人间蒸发了。
  所以也有网友拿360开涮:过去我们每天用360杀毒软件杀毒的快感,是不是有可能是360自导自演的把戏?于见认为,在过去我们对互联网还不像今天这样了解的互联网大环境下,在过去那个流氓软件横行的时代,不是没有这种可能。
  那个时代,那么多杀之不净的病毒,究竟来自哪里?我们作为技术小白,自然不得而知,但是也不得不怀疑,这其实是一些掌握着大数据的公司的套路。
  这正如现在的一些互联网公司,掌握着海量的用户数据,却还在为数据泄密的预防工作做得不到位开脱,为互联网公司的不道德行为极力辩护一样,也无异于一个街头卖艺的艺人,口口声声说自己卖艺不卖身,其实是既想出来卖,还要立牌坊?
  其实,互联网用户也并没有想象中的那么不重视隐私。就拿近几年频繁出事的滴滴打车来说,于见发现,现在的滴滴APP,就比过去多了很多隐私保护的功能。例如,过去滴滴的师傅和约车的用户,彼此都能看到对方的真实电话号码,但是现在,平台却采用了临时的手机号代替来电显示的真实号码,打车结束了一段时间后,这个号码就会自动失效,无法联系对方。
  在于见看来,这就是在用户隐私保护上很大的一个进步。于见认为,如果不是双方用户的强烈诉求,这个功能不是区区一个滴滴产品经理就能想到并推进解决的,毕竟这个需要国内多家强势的移动通讯运营商的配合。
  如果不是多了这样的功能,恐怕男司机用短信、电话骚扰美女乘客、劫财劫色的事件会更多。而对滴滴司机来说,也是对个人隐私的一种保护,相对乘客来说,更是在个人隐私上的相互公平。毕竟,我们不能总是默认,坏人就一定是那个开车的司机。
  提及网络安全,于见不禁想起今年3.15上被曝光,被全民唾弃、祸国殃民的非法网贷平台。在P2P网贷平台野蛮生长的这几年,714高炮、高利贷、小额贷等各种网贷产品横行霸道,各种非法放贷、恶意催收行为已经将中国互联网的网络安全领域搞得乌烟瘴气。
  而网络上经常爆出的,因为通过网贷、裸贷陷入以贷养贷恶性循环,最终东窗事发,因为害怕被网贷平台爆通讯录,走投无路、家破人亡的事件屡见不鲜。
  超过凌晨5点,武汉的一个廉价旅馆,25岁的硕士毕业生罗正宇写好便签,第三次爬上楼顶。这一次他没有回来。第二天被发现时,一根白色登山绳悬挂着他早已冰冷的身体。
  澎湃记者的调查发现,在此之前他不仅每个月都在还花呗、借呗,手机里还装着13个网贷APP。消费金融的特点是没有抵押,办理方便,单人授信额度小,聚少成多,最终是区区5万,压垮了这个刚毕业踏入社会的孩子。
  究其原因,不是因为国人对个人隐私不重视。相反,正是因为国人太重视这些隐私了,才会被这些小额贷款公司所要挟,钻了空子。
  欠债还钱,天经地义,但是网贷平台,以手中掌握着用户的亲友隐私信息作为筹码,外加一个超出普通人能够承受的高额利息,恐怕没有几个本来就缺钱花的穷人,是能够以贷养贷,成功脱离苦海,最终上岸的。
  如果不是担心网贷公司因为催款,恶意骚扰其亲戚朋友,并将其借款行为公诸于众,如果不是因为害怕高学历却穷得叮当响,负债累累的私密情况被人发现,丢了面子。于见再也无法理解,为何区区5万,就能让一个刚刚踏入社会的孩子走上轻生这条路子。他完全可以把这个事实告诉家人,告诉亲友,一起想办法把这个窟窿补上,可惜,就是因为网贷公司掌握了他经常联系的那几个号码,把他逼上梁山,让他走投无路。
  只是,在互联网时代,虽然我们如此重视隐私,却根本没有隐私。我们的一举一动,也必然在各个互联网平台留下痕迹,成为这些平台虎视眈眈,随时可以对我们下手的最佳把柄。而我们作为普通的网民,也不得不成为商家眼中的猎物,坐以待毙、任人宰割的羔羊。
  因为敌明我暗,在被商家肆意营销,疯狂洗脑的过程中,我们就如同被胁迫后抓到战场上打仗的壮丁,虽然壮实却手无寸铁,面对强悍的敌人而毫无还手之力。于是,我们把自己的财产、甚至命运都拱手交给了别人。直到这个世界出现富者更富,穷人更穷的局面,我们仍浑然不觉。
  巨头们的数据、算法、算力、场景已经太太太强大了。当你在社交网络刚刚分享自己当妈妈的喜悦,转眼就收到尿不湿的广告;明明你只是在和朋友闲聊想吃日本料理,某APP就给你弹出了附近的日本料理餐厅和日本料理的外卖。
  今天,在中国,打开APP一刹那最显眼的位置一定是你最有可能或者最需要购买的商品,休闲娱乐的空隙你都会被引入到最符合你胃口的游戏和视频。
  按照最新的法律条文,我们在社交媒体发布的信息,包括微信聊天记录,都将可以作为法律纠纷中的呈堂证据。所以,深处这个信息时代,我们已经无处可逃,只要我们在互联网上留下痕迹,都将有迹可循。也将在这些社交平台的庞大服务器里,可以追根溯源。
  所以,未来也许是一个用户数据竞争的时代,一些大型企业,首先要做的,也许就像银行保护它的小金库,国家保护它的军事基地一样,保护那些储存用户数据的服务器。
  如果里面海量的数据泄露,无异于核武器出现了核泄漏,一旦被别有用心的人所掌握,给人类带来的,虽然不一定是灭顶之灾,却也将是跌入一个万劫不复的深渊。
  欲采蜂蜜,勿蹴蜂巢。为了政治安全、社会和谐,互联网平台需要我们注册账号、填写个人信息、甚至提交身份证信息,进行实名认证的要求也无可厚非。但是,虽然上网安全防不胜防,互联网公司的数据抓取行为杀人于无形,我们也可能永远退回不到那个没有电话、没有手机、没有网络的时代。
  这也许就是为什么越来越多人,不想在这个越来越不安全的互联网虚拟世界,发表自己的只言片语的根本原因。一方面可能是因为我们对各种娱乐八卦,新奇段子见怪不怪,失去了吐槽的激情。另一方面,也可能是因为我们害怕不经意间的言论,不仅会暴露了我们的身份、地位、消费水平,被一些饿如猛虎的商家盯上而强势营销,甚至可能会因为几句言论不当,被当做呈堂证据,就进去蹲几年。
  尽管如此,即使为了保护隐私,我们也不愿意回到那个与世隔绝、时空受限的过去。只是,在这样一个没有安全感的互联网时代,我们期望着那些掌握着海量数据的大公司,能够维持最基本的道德底线,能够保留最基本的人性良知。
  如此,即使真的有一天会面临灾难,也能让我们心理有所准备。而在这个心理准备过程中,我们能做的,也许除了加强个人隐私保护的意识,尽量少的在互联网上留下自己的个人隐私信息,还自己一个内心安宁外,我们也许无能为力。