電商面臨哪些數據風險：內鬼、物流臨時工、撞庫……

7月27日舉行的2017年網絡安全生態峰會電商生態安全論壇上，電商生態安全聯盟發布了2.5萬余字的《電子商務生態安全白皮書》（下稱《白皮書》），首次披露了上述中國電商的生態安全狀況。

“很多人不同賬號使用相同密碼，而地下黑產掌握數十億對賬號密碼關系，撞庫、刷庫所造成的賬號被盜量，占整體被盜賬號的80%，盜號所衍生的黑產業鏈年獲利超百億元。”

7月27日舉行的2017年網絡安全生態峰會電商生態安全論壇上，電商生態安全聯盟發布了2.5萬余字的《電子商務生態安全白皮書》（下稱《白皮書》），首次披露了上述中國電商的生態安全狀況。

《白皮書》從電子商務生態行業內平臺、商家、ISV、物流等多維度，分析了電商生態中的基礎網絡、系統應用、數據、業務等安全風險。

與消費者關系最為直接是，當屬數據泄露、賬號被盜、敲詐勒索等風險。

49%數據泄露是內鬼導致

《白皮書》介紹，電子商務數據安全風險主要包括數據泄漏、數據篡改、數據可用性、數據污染、數據誤用等安全風險。

數據泄露風險中，內鬼類風險導致的信息泄露事件占比為49%。隨后是賬號類、系統漏洞類和木馬類風險，分別占比為16%，12%，14%?？梢钥闯鰯祿踩L險主要還來自與人有關系的風險。

《白皮書》指出，針對賬號被盜途徑風險占比中，通過撞庫和刷庫的事件占比達到80%之高。撞庫和刷庫事件是賬號被盜取的主要風險因素。

物流臨時工需加強監管

物流行業的數據安全風險在整體的信息泄露風險中占比較大。

《白皮書》指出，由于物流較大部分采取加盟模式，以及部分倉庫、網點存在倉內局域網作業的情況，所以應用系統呈現多級數據存儲的架構，極大增加了數據管理的復雜度。

同時，從業人員流動性大，尤其是在歷年大促期間，大量臨時的分揀、派件的人員加大了電商交易信息在物流環節發生信息泄漏的不可控因素。常見的人員問題如面單拍照，賬號買賣，內部人員批量數據導出等。

敲詐勒索事件頻發

《白皮書》指出，電商欺詐主要集中在北京、上海、廣東、浙江、江蘇等經濟較發達省市，詐騙來源分布主要集中在福建和廣東。電商日常敲詐勒索事件占所有惡意行為事件的比例最大，達到38%。

《白皮書》還指出，惡意行為風險指的是用戶以非實際需求，以不正當理由、甚至違法行為獲利最終導致商家、消費者或平臺經濟損失。

在惡意行為中，常見的惡意行為有：黃牛、惡意騷擾、敲詐勒索、惡意投訴、惡意下單、惡意退款、惡意評價等數十種類型，在每個電商平臺上的表現形式不一，獲利方式往往是大量搶購低價營銷商品或市場緊缺型商品(如iPhone新品發布)、敲詐勒索錢財、騙取獲取或賠付等等，此類風險往往是單次獲利不高但通過大量賬號可以獲得可觀收益，例如電子商務生態業內通常所說的薅羊毛；該產業遍布各大電商平臺，小到一分兩分的積分，大到飛機票火車票都是該產業的目標之一，整體產業規模上百億。

日常情況中，敲詐勒索事件占據比例很大，達到38%。惡意退款和惡意評價分列到第二和第三位，分別占比為15%，16%。

電商聯盟抱團抵御風險

“單一、傳統的安全防御手段，已不足以保護電商行業的自身發展，需要有一種新的模式，讓電商行業內的安全資源互補，共同抵御日益嚴峻的網絡安全問題。”電子商務生態安全聯盟常務理事長、阿里巴巴集團安全部研究員張玉東表示。

正是基于以上考慮，2016年7月13日，阿里巴巴發起并成立“電子商務生態安全聯盟”(Security Alliance of E-Commerce Ecosystem，下稱SAEE)。

SAEE針對生態圈內各個伙伴的安全需求，量身定制了6項安全標準，規范行業內的數據安全管理，目前聯盟標準覆蓋的ISV（獨立軟件提供商）應用總訂單占比達95%。

目前SAEE已吸納35家有行業影響力的ISV服務廠商、物流公司、商家等生態合作伙伴加入聯盟。

（來源：21世紀經濟報道）