這種情況在小型網站尤為明顯。
“他們覺得自己只是個小網站,并沒有敏感信息,沒有被攻擊的可能。”360董事長周鴻禕透露說,比如360補天之前發現了一個高校的漏洞,但技術方獲悉後近半年時間也沒修複。“但一個同學在校園BBS的ID密碼有可能是他支付寶的ID,這是個順藤摸瓜的過程。”一名黑客曾告訴南都記者,他曾經用一個簡單的萬能密碼(“OR1=1”)成功登入一個政府網站的後台。
同樣的,新型的攻擊手段被企業理解接受有時候也需要時間。“許多企業現在注重SQL注入這種常規純技術的攻擊,但現在O2O類網站有一類新問題是應用層面的邏輯問題,比如說修改購物車的商品數量,或者是直接盜刷積分。”王宇說,之前也有客戶對此并不關心,直到遭到上千萬的損失才“亡羊補牢”。
律師觀點 取證難,用戶索賠難
對於因信息洩露導致的用戶損失,涉事企業是否應當賠償用戶的疑問,知名IT與知識產權律師、中國政法大學知識產權中心特約研究員趙占領向南都記者表示:如果因為企業自身安全漏洞等情況導致用戶個人信息洩露,這種屬於被動行為,這時候不涉及刑事責任,但應該承擔民事責任,這種情況下,企業必須根據用戶的實際損失來進行賠償。
但前提是,用戶能够提供證明,證實信息確實是在該渠道洩露出去的,但這個取證往往非常困難,因為現在用戶的信息往往在各個渠道都有,很難證明就是從具體的某個渠道被洩露出去的———這時候,除非企業自己承認信息洩露,或者犯罪嫌疑人被抓到,指證用戶信息就是從具體某個渠道獲得的。否則,普通用戶很難舉證信息究竟是從哪個渠道被洩露出去的,就很難索賠。(來源:南方都市報 采寫:南都記者蔡輝、李冰如、莫柳) |
