通信世界网消息(CWW)近期,不少用户反映自己的苹果账户被莫名盗刷,短时间内各地已有数百人遭遇盗刷,损失从数千元到上万元不等。信息泄露是个太大的命题,不只是苹果用户的信息被窃取,近期,Facebook和谷歌也被曝遭受到黑客的攻击;今年8月,国内多品牌酒店企业之一华住集团被曝大量用户数据遭泄露,引起国内恐慌。
“能力越大,责任越大”作为用户个人信息最直接的利用者和保护者,企业应该怎么保护用户隐私呢?
杜绝明文密码存储
作为服务众多企业信息安全的一线技术专家,蔡玉光建议,企业要做好完整可靠的数据安全措施, 杜绝明文密码存储, “这样即便被黑也能降低损失”;对用户数据交互点进行防御, 如注册登录点加验证码等二步验证方式, 增加不法分子“撞库”(通过收集互联网已泄露的用户和密码信息,尝试批量登陆其他网站)攻击的成本。
企业应有预警机制
中关村信息消费产业联盟副秘书长包冉表示,平台应对用户数据负责。苹果目前的机制是一个Apple ID,捆绑一个免密支付。设计上没有问题,但是如果短时间内突然出现了多起异常交易,或是异常的设备登录,企业应该有预警机制,应该及时通知用户。另外支付宝也好,财富通也好,如果用户从来没有过购买游戏道具这样的消费行为,突然短时间买了七八个道具包,也应该及时通知用户。
保险体系给用户账户加层“锁”
据业内人士分析,一方面,个人信息泄露与不法人员撞库是ID被盗的根源。另一方面,双重验证功能没有启用和使用免密支付,也是被盗刷账户的常见情况。
独立IT电信分析师付亮表示,免密支付控制风险,应该两条腿走路。一条腿是对免密支付做一些环境上、额度上的限制,来保证支付本身的安全性。第二条是以信用体系、保险体系作为支撑。“第二点是我们比较欠缺的。”付亮表示,减少操作而带来的风险不应该由普通用户承担。
国家应加快立法
对于个人隐私的保护,欧盟率先以立法形式制定了GDPR(《一般数据保护条例》),以设法阻击个人信息泄露。企业违反隐私法将被处以全球最高收入的4%或2000万欧元(以较高者为准)。
我国也出台了相关的法律法规,如6月份生效的网络安全法,消费者权益保护法、民法通则等,在数据隐私保护方面都有很强的立法强度,但消费者普遍关心的惩戒手段、赔偿等问题仍然需要完善和细化。
