因用户数据大量泄露,新浪微博被工信部问询约谈
安全资讯 2020年03月27日 14:45:55
近日,有不少微博用户称账号信息遭泄露,有人在网上公开售卖微博用户信息。随后工信部发布消息,因新浪微博被爆出用户查询接口被恶意调用导致App数据泄露问题,工信部网络安全管理局对新浪微博相关负责人进行了问询约谈,要求其进一步采取有效措施,消除数据安全隐患。
微博回应已加强安全策略
工信部就此问题约谈微博相关负责人,要求采取有效措施,消除数据安全隐患,主要包括以下四点要求:
一是要尽快完善隐私政策,规范用户个人信息收集使用行为;
二是要加强用户信息分类分级保护,强化用户查询接口风险控制等安全保护策略;
三是要加强企业内部数据安全管理,定期及新业务上线前要开展数据安全合规性自评估,及时防范数据安全风险;
四是要在发生重大数据安全事件时,及时告知用户并向主管部门报告。
新浪微博表示,公司高度重视数据安全和个人信息保护,针对此次事件已采取了升级接口安全策略等措施,后续将按照工信部要求,落实企业数据安全主体责任,切实做好用户个人信息保护工作。
在被工信部约谈之后,微博回应已加强安全策略,并将详细情况上报给司法机关。同时也将不断强化安全策略,完善账号安全设置服务,以帮助用户提高账号安全等级,并呼吁用户加强防范意识,保护好个人账号。这些表态之外,还需在具体环节,增强多加“安全锁”的意识。比如在源头上,最好的安全保护,就是尽可能少地收集不必要的用户信息。
数据泄露到底是谁的责任?
据微博方面的说法,这次事件的漏洞并不在微博方面,是有人非法窃取了用户的手机号,然后顺着手机号调用了微博数据,微博方面也是受害者。在技术上作此解释可能没问题,可对用户来说,即便手机号被泄露,但沿着手机号就能调用微博数据,微博方面没有把关责任吗?
互联网时代,个人信息的安全风险日益凸显,信息泄露令人防不胜防。当下,随着支付、出行、消费、娱乐等越来越多的生活场景被搬到线上,由数据泄露导致的侵权、欺诈等违法犯罪行为,更对个人权益保障构成了极大威胁。特别是网络数据相互匹配、相互关联,从一处安全漏洞,对个人信息展开全方位抓取,也未尝没有可能。
现在很多APP都明里暗里地使用“霸王条款”,过度搜集用户信息,这样一旦出现信息安全问题,就会对用户造成极大伤害。其实很多APP,完全不需要收集那么多用户信息。搜集和APP主要功能无关的信息,根本不是从用户利益考虑,而是出于方便企业的商业开发考量。对于这些过度搜集信息的行为,国家相关部门此前就有相关的规范性要求,规范之外,也要在日常中加大检查监督,这才能从源头上添加“安全锁”。
互联网时代,互联网企业理应清楚个人信息的重要性,也应时刻把用户的个人信息安全放在重要位置。在储存管理用户信息的过程中,哪里可能出现问题,哪里需要提升技术,不应该是个难题。
同时,对于用户信息泄露责任问题,还需要更清晰地划分。比如这次事件,微博的回应称他们也是受害者,这是不是意味着如果有用户信息被泄露利益受损,微博就完全无责呢?若是如此,就不利于倒逼平台更加重视信息安全。所以,进一步明确细化网络平台在信息安全方面的责任,也是一把很重要的“安全锁”。
我们应该如何做?
一、最好不要在常用电脑上下载或点击网络广告的链接。常用电脑一般都保存着自己的重要信息,如常用的聊天软件账号,常用的购物平台账号。这些信息在下载进入到一些存在病毒的网站时很容易被泄露出去,造成一定的财务风险。
二、在面对一些需要个人信息注册的网站或需要填写个人信息的网络问卷调查时最好先确认该网站是否存在安全问题。网址栏非HTTPS开头的网站建议不要随便点击或输入个人信息。一些浏览器会提醒你进入到的网站可能存在风险,而这些网站绝大多数都会对你的个人信息造成一定的影响。
三、企业应随时更新操作系统,在开发操作系统时,大多数组织的重点是开发高级安全功能,以保护用户信息。谷歌,微软和苹果等顶级操作系统公司在软件工程师的帮助下,保持了以前版本的安全级别。
更新版本确保保护用户的数据,并通过利用技术防止网络犯罪分子窃取数据。因此,请确保企业的PC“正确修复和更新”以确保企业的数据安全。定期刷新企业的项目将帮助企业填补任何安全漏洞,从而按时解决潜在问题。
四、企业应严格控制信息的出入,针对网络攻击和未授权的访问,我们建议企业严格控制信息的出入,通过安全审计来检测和监督可疑用户,取消可疑用户的权限,调用更强的保护机制,去掉或修复故障网络以及系统的某些失效部件。
五、企业应做好基础安全防护,例如企业网站部署SSL安全证书,企业邮件部署邮件证书等等,做好最基础的安全防护工作,避免因小失大。相比于通信方身份和数据完整性无法验证的HTTP协议,HTTPS是一个基于HTTP的安全通信通道,它运用安全套接字层(SSL)进行信息交换,具有身份验证、信息加密和完整性校验的功能,可以保证传输数据的机密性和完整性,乃至服务器身份的真实性,进而有效避免HTTP被劫持的问题。
同样的,邮件证书对电子邮件进行数字签名并加密传输,一方面可以保证邮件发送者身份真实性,另一方面保障了邮件传输过程中不被他人阅读及篡改,并由邮件接收者进行验证,确保电子邮件内容的完整性。
不要在犹豫了,赶快向数安时代申请权威可信SSL证书,提升网站安全防护能力,保护用户的数据安全。数安时代是经过WEBTRUST国际认证CA机构,拥有丰富的行业经验和专业的技术支持团队,除了自主品牌GDCA,还有Symantec、Globalsign、GeoTrust等品牌,选择更多,一次性对比,提供行业最优惠的价格。有需要可以咨询客服了解产品。
声明:本网站发布的图片均以转载为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。本站原创内容未经允许不得转载,或转载时需注明出处:GDCA数安时代