獨立觀點:小米科技物流訂單數據」泄露」究竟誰之過

今天下午,一則疑似『小米用戶物流信息在黑市瘋傳』的安全事件引爆了整個互聯網圈。

從301認為本次安全事件存在很多疑點和問題,需要大家去深度思考的!!!

目前互聯網主要是兩方面的聲音。

  1. 小米物流數據泄露,數據量達到數十萬條。

  2. 小米物流信息在黑市瘋傳!

(圖1)來源 雷鋒網

(圖2)來源:安全媒體—安全牛

(圖3)來源:網易科技

據301了解到的情況是,本次了解到的該安全事件疑似泄露的線索信息首發為nosec威脅情報平台,並且通過相關平台提供的線索信息有限,詳情如下:

從相關威脅情報平台公開的信息源,我們可以了解到涉及的本次數據『泄露』情況看,可提供的線索信息有限。

本次時間了解以下幾個方面的情況。

第一、本次了解到的信息源頭來自QQ群信息,有疑似黑產人員正在公開售賣小米訂單數據,並且反饋的信息涉及數十萬條信息,其中涉及訂單信息達到幾萬條。

第二,通過相關平台提供的問題證明信息,了解到的兩張訂單信息圖片,可以了解到的數據信息維度主要涉及如下。

  1. 序號

  2. 郵件號(EMS 快遞單號)

  3. 收件人地址

  4. 收件人電話1

  5. 大客戶(客戶類型)物流平台專屬名詞。

  6. 保價金額(部分)

  7. 接收時間

  8. 原重量(千克)物流平台業務數據。

從本次提供的信息源,我們看到涉及客戶類型(大客戶)、報價金額、原重量等信息,我們可以判斷本次的信息為物流管理平台的截圖信息,該涉及的相關信息為物流的業務數據信息,小米科技自身平台不包含以上幾部分的信息,並相關平台未提供具體涉及的數量。

以下圖片:(物流單號查詢圖)

該平台通過第一張圖片涉及的1141974691207的EMS訂單信息查詢到該訂單信息確實為真實有效的用戶信息,並且通過EMS官方物流平台查詢到了涉及相關用戶的訂單配送跟蹤進度信息,訂單信息時間為2016年4月2號的信息,信息源較新。

目前互聯網了解到的線索本次提供的圖片證明來看,本次涉及的數據信息來源於EMS物流平台後台提供的數據信息,這個數據信息是否真正大規模泄露,或正在被利用,具體細節需要涉及的物流平台方和小米科技相關人員進行確認。真正影響範圍需要跟本次涉及泄露的用戶進行確認,具體評估下本次涉及的影響大小。

反之,針對可能造成企業信息泄露的源頭主要來自以下幾個方面的問題:

第一、企業自身網站平台存在嚴重漏洞可能會造成信息泄露

小米科技近期是否存在嚴重漏洞導致大量訂單數據泄露,安全是否健全,這個問題需要小米科技的相關同事來負責回答,大家只需要等待官方發布公告即可。

第二、企業內部安全,存在內部員工接觸核心業務數據導致數據丟失。

企業內部員工的許可權管理是否存在問題,相關數據內部員工是否能接觸得到,這個問題同樣小米科技的同事來進行回答,大家只需要等待官方發布公告即可。

第三、企業使用的第三方產品及服務平台存儲了大量企業用戶的業務數據,相關第三方平台對業務數據保管不當導致存在泄露問題。

本次涉及的案例部分,我們可以清楚的看到涉及的業務數據為第三方物流平台存在的問題,並且我們看到的情況為第三方物流平台的數據存在泄露風險導致小米科技用戶受損。從而我們可以提出幾個問題:

1、第三方物流管理平台是否存在漏洞?

2、是否有人真正拿到了相關數據?

3、影響範圍的區域糾結是哪些用戶?

4、本次涉及的用戶是否已經接到欺詐或者退訂電話信息?

5、相關涉事方確認後的結果是什麼?

針對第三方供應鏈的安全問題,301之前寫過『301:淺談互聯網安全現狀與攻擊趨勢』與『301:淺談互聯網金融安全風險防範與思考』中提過第三方安全中涉及的供應鏈安全風險問題,本次就不在詳談。

最後:

目前301看到的問題主要是媒體捕風捉影,沒有判斷新聞內容的真實性對外發表觀點,誤導大眾,導致造成不必要的安全恐慌,誤導消費者,誤導媒體,破壞良好的互聯網安全次序。

呼籲廣大媒體正式安全事件,負責任披露涉及安全相關信息,確認信息的真實性和準確性。

呼籲廣大安全從業人員正視安全事件,負責任的評論相關事件。

呼籲廣大用戶關注信息安全事件,重視自身安全隱私。

呼籲小米及涉及物流平台,確認本次事件的真實性和影響範圍,給廣大用戶一個合理交代。

呼籲所有企業重視安全問題,安全無小事,重視第三方供應商/供應鏈的安全管理問題。

本文原創,為301獨立觀點,謝絕轉載。

強烈推薦內容,想必您會喜歡

0、互聯網企業該如何構建安全團隊第三季—困惑與突破

1、成長型互聯網企業該如何構建安全團隊—第一季

2、互聯網企業該如何構建安全團隊第二季—安全初期

3、這才是互聯網與安全團隊需要的幾種人才!

4、安全從業者記住改掉的幾個毛病

5、白帽子:年輕人要有危機意識

6、白帽子黑客:EX,還記得我們一起去太平山頂的約定么?

7、少年黑客:我的初戀女友,你在哪裡?

8、開春巨獻!全球TOP500安全公司到底在做些什麼

9、2015年至今國內信息安全領域那些投資那些事

10、301:淺談互聯網安全現狀與攻擊趨勢

11、招人必看!301淺談國內安全人才薪酬現狀

12、301:從安全形度淺談雲計算服務平台現狀與發展

長按以下二維碼,關注301在路上,獨立安全觀點!

歡迎投(約)稿、商務合作。

微信:2036234

推薦閱讀:

這個小伙因WannaCry勒索軟體一夜成名,獲得一年免費披薩
曾入侵CIA和FBI的黑客組織「Crackas With Attitude」成員獲刑5年
國外知名評論系統Disqus 2012年被黑,官方現在才發現用戶數據泄漏了
U2F設備安全測試

TAG:信息安全 | 用户数据泄露 | 小米科技 |