2019-08-14 10:30:2410277人阅读
丝芙兰(Sephora)是国际知名的美容产品、化妆品和护肤品生产商,近日其在线购物网站遭遇了数据泄露,损害了其客户的个人信息和登录凭证。
事件概览
7月29日,丝芙兰的一些客户收到了一封电子邮件,告知他们“过去两周”发现的数据泄露情况。
该化妆巨头公司遭遇了数据泄露的原因在于未经授权的第三方获取了其使用在线服务的客户的个人信息。受影响的客户所在地区为新加坡、马来西亚、印度尼西亚、泰国、菲律宾、香港特别行政区(中国)、澳大利亚和新西兰等地。但对于具体受影响的客户数量,丝芙兰官方没有给出说明。
丝芙兰发布给用户的通知
泄露信息
公开泄露的信息包括客户注册账户时填写的姓名、出生日期、性别、电子邮件地址、美容偏好和加密密码。但是,数据泄露事件中没有涉及支付信用卡信息。
在了解事件后,丝芙兰对其安全系统进行了全面审查。该公司撤销了所有客户帐户的已有密码,并要求其客户及时更改密码。除此之外,该公司还为所有受影响的客户提供免费的个人数据监控服务。
数据违规事件屡次发生
随着电子商务的发展,网络购物已经成为了消费的主要方式之一。与此同时,电子商务环境下的用户个人信息安全问题也开始备受关注。
5月13日,优衣库母公司日本迅销发布公告称,4月23日至5月10日期间,其日本在线购物网站遭到黑客攻击。黑客在“未经授权”的情况下进行了46.11万次登录,这意味着超过46万名顾客的信息可能遭到了泄露。
2018年全球十大数据泄露事件
从上表中可以发现,2018年全球十大数据泄露事件中不乏Under Amour、Newegg这样的知名在线购物网站,上述提及的优衣库泄露46万顾客信息,只暴露了全球网络数据安全问题的冰山一角而已。
深层原因分析
在线购物网站用户信息泄露有多种可能性途径。现在许多APP、网站、公众号、小程序都需要用户注册账号后才能正常使用。因此,每个网民拥有多个账号是很平常的事情。在注册时,网站一般都需要填写一些个人信息,如常见的账号、密码、邮箱等,甚至还需要实名认证和绑定支付银行卡信息。
在线购物平台上的用户数据泄露主要有以下几种方式:
黑客利用平台存在的安全漏洞入侵网站,盗取用户数据库;
网站内部工作人员倒卖用户信息;
通过撞库攻击,窃取用户数据;
利用钓鱼攻击窃取用户信息;
通过木马、病毒窃取用户隐私信息。
但究其深层原因,某些网站在用户注册时过度采集信息、索要权限可能才是问题的根本。
“是否同意服务条款?”这是注册网站账户或下载手机APP(应用软件)时经常遇到的问题,选择“同意”才能进入下一步。对于条款中可能存在的过度采集个人信息问题,很多人感同身受却又无可奈何。北京市消协此前发布的一份报告显示,部分手机APP过度收集、违规使用个人信息,可能导致个人隐私信息泄露或被窃取。
近一年,企业涉嫌过度采集用户信息的热点事件偶发,引起民众和法律界人士的关注和讨论。执法部门应主动积极介入案件调查,并对实施者进行追责处理。网站平台收集和使用用户信息应当遵循“合法、正当、必要”三原则。对收集到的用户信息应当采取安全保护措施,一旦发生泄密,必须及时采取补救措施。
同时,用户必须增强信息保护意识。警惕要求重新输入账号信息,否则将停掉信用卡账号之类的邮件,不要回复或者点击邮件的链接,以免落入圈套。不要在多个网站使用相同的注册账户名以及登录密码,防止网络黑客有意盗取,造成多个网站个人信息的连环失窃。
作者:Gump