數據泄露一直都是互聯網企業難以言說的痛，在“3·15”國際消費者權益保護日腳步的臨近之際，葫蘆娃與大家一起回顧這些用戶信息泄漏的典型案件。

近日，公安部破獲了一起盜賣公民信息的特大案件，被竊取和盜賣的公民信息多達50億條。經公安部調查，京東網絡安全部前試用期員工鄭某鵬，長期監守自盜，與黑客相互勾結，為黑客攻入網站提供重要信息——包括在京東、QQ上的物流信息，交易信息、個人身份等數據信息，為犯罪團伙實施違法犯罪活動提供了有力的技術保障。

從雅虎2億用戶數據泄露，再到前段時間，借貸寶10G裸貸照片和視頻壓縮包在網上的廣泛流傳，再到京東的12G數據泄露。一樁樁一件件，無不都顯示著在當前大數據時代下每個人都在裸奔的普遍常態。

據國內知名電商用戶投訴維權第三方平臺，近年來接到的用戶投訴以及對監測發現：不少大型互聯網公司平臺公司存在重大內部管理漏洞，其內部人員故意泄露、販賣網站用戶個人信息資料，侵犯網絡交易用戶的信息隱私權。下面盤點近年來行業內出現的11起典型用戶信息安全事件如下：

事件一：5173中國網絡服務網數次被“盜錢”。

2010年1月20日，涉嫌盜竊罪的李豪被蘭溪市檢察院批準逮捕。經查，李豪前后一共盜取了100多個5173網站的賬號，共獲得贓款12萬余元人民幣。不法分子先在網上找尋有出售游戲幣和游戲裝備信息的5173網絡賬號，通過簡單交易獲知信息，再推算出網絡賬號密碼，從而實施網上盜竊。

事件二：當當網賬戶遭盜刷。

2012年3月，當當網賬戶集體被盜，余額被用于購買電子產品、金銀首飾等大額商品。當年6月13日，網名為“我是那個向日葵”的微博用戶發布微博稱，其購進的10張面值500元"當當網禮品卡"，被盜充。2014年3月，當當網113位用戶賬戶余額被盜用，損失金額超過6萬元。而當當網對于用戶賬戶被盜第一時間均是撇清關系，在輿論壓力下才給以補償。

事件三：“1號店”員工內外勾結泄露客戶信息。

2012年5月底，微博用戶挨踢客爆料1號店員工內外勾結泄露客戶信息，90萬的用戶信息竟被以500元的價格叫賣。部分消費者不久后就遇到了賬戶余額被盜、電話詐騙等問題。之后1號店凍結用戶賬戶。1號店副總裁劉彤回應：1號店在案發后已進行了內部檢查，對系統、流程、權限進行了清理、升級，以杜絕日后類似事件的發生。被消費者質疑“很沒有誠意”。直至2013年3月，仍有很多消費者稱1號店對那次信息泄露事件的處理很不到位，至今仍沒有得到應有的補償。

事件四：支付寶漏洞信息泄露。

2013年3月27日晚，網友曝支付寶出現重大漏洞，稱使用谷歌、360搜索則可以搜索出大量的支付寶交易記錄，包括付款賬戶、收款賬戶、姓名、日期，甚至郵箱和手機號等，并附帶上了Google搜索的截圖和多個詳情頁的截圖。該消息27日被大量轉發后，支付寶官方于27日晚23時53分在微博中做了回應，稱已做處理，這次有付款結果頁面被收錄可能是因為有極少量用戶主動將自己付款結果頁面分享到公共區域。該回應遭廣大網友質疑。對此，支付寶在回應中稱，支付寶生活助手轉賬付款結果頁面一般用于支付雙方展示支付結果，不含真實姓名、密碼等重要信息，支付寶對這一頁面鏈接加具了安全保護，正常情況下任何搜索引擎都無法抓取。目前已將用戶付款結果頁面做部分信息隱藏，進一步幫助用戶保護個人隱私信息。

事件五：如家、七天開房信息泄密。

2013年10月，如家、七天等連鎖酒店被網曝有多達2000萬條客戶開房信息遭泄露，只需輸入姓名或身份證號，即可查詢到包括身份證號、生日、地址、手機號、郵箱、公司、登記日期等真實信息。事發一周前，國內安全漏洞監測平臺烏云發布報告，稱多家酒店開房記錄被某無線上網認證管理系統供應商存儲，并因系統有漏洞而存在泄露隱患。

事件六：騰訊7000多萬QQ群遭泄露，隱患危及微信支付。

2013年11月20日，國內安全漏洞監測平臺烏云公布報告稱，騰訊QQ群關系數據被泄露，在迅雷快傳很輕易就能找到數據下載鏈接。根據QQ號，可以查詢到備注姓名、年齡、社交關系網甚至從業經歷等大量個人隱私。騰訊方面亦承認7000多萬QQ群遭泄露。對此，業界均擔憂泄露事件將直接牽連微信安全問題。“黑客一旦掌握了QQ號碼和銀行卡號，就能注冊微信并使用微信支付，盜取用戶資金幾乎是輕而易舉的事情。”

事件七：攜程技術漏洞導致用戶個人信息、銀行卡信息等泄露。

早在2009年之前，攜程信息安全漏洞就已經多次被用戶質疑，但均未引起公司足夠重視。2014年 1 月攜程再次被媒體指出儲存信用卡敏感信息存在泄露風險，攜程網回應采用的信用卡支付方式符合國際慣例，對自身的信息安全問題再次選擇忽視。2014年3月22日下午18:18分，烏云漏洞平臺發布消息稱，攜程系統存技術漏洞，可導致用戶個人信息、銀行卡信息等泄露。漏洞泄露的信息包括用戶的姓名、身份證號碼、銀行卡類別、銀行卡卡號、銀行卡CVV碼(即卡號、有效期和服務約束代碼生成的3位或4位數字)以及銀行卡6位Bin(用于支付的6位數字)，上述信息有可能被黑客所讀取。

事件八、快遞單販賣成“灰色產業鏈”。

快遞單成為又一信息泄露途徑，“淘單114”、“淘單網”、“淘單8”、“單號網”等網站明碼標價出售快遞單號，0.5元就可買到一份快遞信息，快遞單號販賣儼然已經成為一條灰色產業鏈。而數量龐大的淘寶賣家成為快遞單號的重要來源之一，目前有近90%的淘寶賣家都在刷單，用真實的快遞單號“炮制”出逼真的虛假交。

事件九：小米“泄密門”800萬用戶信息泄露。

2014年5月13日晚間，安全平臺烏云發布了一個重大的安全漏洞信息，小米論壇被脫褲，約有800萬小米社區用戶數據泄漏，或將影響小米移動云等敏感信息。隨后有用戶收到了詐騙電話，電話源頭能提供用戶的準確信息，姓名、地址、電話、商品購買記錄、密碼、郵箱、注冊IP等信息等等，以貨到付款的方式進行產品推銷及其他詐騙行為。

事件十：13萬12306用戶信息外泄事件。

2014年12月25日上午，漏洞報告平臺烏云網出現了一則關于中國鐵路購票網站12306的漏洞報告，危害等級顯示為“高”，漏洞類型則是“用戶資料大量泄漏”。這意味著，這個漏洞將有可能導致所有注冊了12306用戶的賬號、明文密碼、身份證、郵箱等敏感信息泄露。后犯罪嫌疑人蔣某某、施某某被抓獲。經過警方初步審查，兩人交代是通過收集互聯網某游戲網站以及其他多個網站泄露的用戶名加密碼信息，嘗試登錄其他網站進行“撞庫”，非法獲取用戶的其他信息，并牟取非法利益。

事件十一：攜程“癱瘓門”。

2015年5月28日11時許，攜程網癱瘓，網頁版和手機APP均不能正常使用，攜程網回復稱是服務器遭到不明攻擊所致，正在緊急恢復。5月28日下午，攜程官網在首頁頂部掛出“攜程網站暫時無法提供服務，正在緊急修復中，您可以訪問：藝龍旅行網”的通知。5月28日17點開始，藝龍旅行首頁網也無法正常訪問，半小時后才恢復正常。對于事故原因，網上在攜程癱瘓事件發生不久之后，出現了內部員工離職報復、數據庫被物理刪除等傳言。5月28日22時45分，攜程官方表示，經技術人員搶修，除個別業務外，攜程官方網站及APP恢復正常，經過排查，數據沒有丟失，預訂數據也保存完整。5月29日1時30分，攜程官方表示，經技術排查，確認此次事件是由于員工錯誤操作導致，由于涉及的業務、應用及服務繁多，驗證應用與服務之間的功能是否正常運營，花了較長事件，攜程官網及APP已與28日23時29分全面恢復正常。

究竟誰該為用戶數據安全負責？

《消費者權益保護法》的規定，經營者及其工作人員對收集的消費者個人信息必須嚴格保密，不得泄露、出售或者非法向他人提供。經營者應當采取技術措施和其他必要措施，確保信息安全，防止消費者個人信息泄露、丟失。在發生或者可能發生信息泄露、丟失的情況時，應當立即采取補救措施。另外，《網絡交易管理辦法》也有相同的規定。如果由于經營者的過失，導致消費者經濟損失的，理應承擔相應的賠償責任。

按照現行法律，如果用戶信息泄露，企業是需要承擔一定的賠償責任的，因為公司與用戶之間具備合同關系，有保障用戶信息安全的義務。如果本次事故是內部人員所為，說明公司內部存在管理問題，沒有盡到安全管理責任，應承擔相應的民事責任，賠償用戶損失。如果本次事故是外部攻擊造成，需要具體分析公司方面是否有采取基本的技術措施保障信息的安全，再來判定公司是否存在過錯。

用戶信息泄露不僅存在于個別計價平臺，幾乎是當下各行業的一大“通病”，而信息泄露中受害最大的是處于被動的消費者。要在購物過程中避免信息泄露，需要消費者、電商平臺和相關部門的共同努力。全國首部《電子商務法(草案)》中，加大對信息安全的保護力度，明確包括第三方電商平臺、平臺內經營者、支付服務提供者、快遞物流服務提供者等在內的信息安全保護責任主體。提出對未履行保護義務的，最高處50萬元罰款并吊銷執照；構成犯罪的，追究刑事責任。此外，根據刑法第二百五十三條：“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。

那么，如何防止個人信息被泄露呢？

第一，網站用戶信息泄露有多種可能性途徑。現在許多APP、網站、公眾號、小程序都需要用戶注冊賬號后才能正常使用。因此，每個網民擁有多個賬號是很平常的事情。在注冊時，網站一般都需要填寫一些個人信息，如常見的賬號、密碼、郵箱等，像一些電子商務、婚戀、交友網站等還需要實名認證，要求填寫的信息更加詳細。平臺上的用戶數據泄露主要有以下幾種方式：黑客利用平臺存在的安全漏洞入侵網站，盜取用戶數據庫；網站內部工作人員倒賣用戶信息；通過撞庫攻擊，竊取用戶數據；利用釣魚攻擊竊取用戶信息；通過木馬、病毒竊取用戶隱私信息。

第二，法律條文需細化，相關部門應適時介入。我國關于網絡信息安全方面的法律條文不夠明確，適用范圍尚且不夠精準，相關條文必須得到進一步細化、規范，以此更加公平公正地懲治網絡信息安全事故的造成者，保護公民切身利益。此類信息泄露事件不適用“不告不處理的”的原則，相反，執法部門應主動積極介入案件調查，并對實施者進行追責處理。

第三，信息安全無小事，用戶必須增強信息保護意識。警惕要求重新輸入賬號信息，否則將停掉信用卡賬號之類的郵件，不要回復或者點擊郵件的鏈接，以免落入圈套。同時，避免開啟來路不明的電子郵件及文件，安裝殺毒軟件并及時升級病毒知識庫和操作系統補丁，將敏感信息輸入隱私保護，打開個人防火墻。網絡銀行時，選擇使用網絡憑證及約定賬戶方式進行轉賬交易，不要在網吧、公用計算機上和不明的地下網站做在線交易或轉賬。不要在多個網站使用相同的注冊賬戶名以及登錄密碼，防止網絡黑客有意盜取，造成多個網站個人信息的連環失竊。

第四，要求網站平臺收集和使用用戶信息應當遵循“合法、正當、必要”三原則。對收集到的用戶信息應當采取安全保護措施，一旦發生泄密，必須及時采取補救措施，否則都可能面臨行政處罰或者用戶的訴訟。

重中之重部署—SSL加密證書

防止信息泄露，要提前準備，防患于未然，網站上安裝SSL證書，對瀏覽器傳輸到網站服務器的數據進行加密，確保數據不會被竊聽者攔截，認證網站服務器的真實身份，讓用戶確信敏感信息（支付卡信息或其他數據等）正發送到正確的服務器，而不是欺詐者或數據竊取者的服務器。詳情請查看：//www.huluwa.cc/zt/renzheng/