法制晚报·看法新闻讯 (记者 王伶玲)订了机票,却在出发前收到了航班取消的通知。看似平常的一条提醒短信,却可能是骗子的圈套。据悉,目前《移动安全联盟漏洞信息披露和处置自律公约》已发布,个人信息保护已提上日程。业内人士更认为,密码安全才个人信息泄露的核心问题。
被退改签机票 骗子新全套曝光
前日,市民曹女士收到了因航班取消需要进行退改签的提示短信。“尊敬的【***】旅客您好!抱歉通知您预订的2018年7月**日的MU2731次航班因机械故障航班已被取消,请及时联系客服:00861-7061112601办理改签/退票,给您带来不便敬请谅解(注:退改签免费办理,每位旅客补偿300元误机费)【东方航空】”
骗子利用被骗者的心里,以300元误机费为诱饵,在骗取乘客改签航班的过程中,以缴纳手续费为理由,骗取用户支付宝账户中的财务。一下就识破了骗子圈套的曹女士,自然没有上当受骗,但令曹女士细思极恐的是:“我的名字和航班信息完全是真实的,可怕啊。”
据介绍,这些骗子拿到的用户信息,有多种渠道。曾经有类似的诈骗分子透露,淘宝上20元就能买到一个用户信息。这些信息有是航空公司内部工作人员倒卖流出的。2015年4月,济南地区检察院曾对高某等18名犯罪嫌疑人提起公诉,罪名就是他们利用在航空公司工作之便倒卖旅客信息获利。同时,一些机票代理或者APP也不排除成为泄露用户信息的渠道。
此外,有些片子会通过植入木马的方式,攻破航空公司的旅客信心系统,或者克隆航空公司和旅行社网站,植入木马病毒,令网站发布机票打折信息,用低折扣吸引消费者,并留下植入木马的网站。消费者一旦进入这个被植入木马的打折机票网站购买机票,其个人信息就会被骗子获取到。
复杂密码难挡账号信息被盗 没密码更安全
据介绍,通常用户信息被盗去,这意味着用户登录网站或者软件时的登录账号和密码就已经被盗了。中国电信综合平台开发运营中心账号事业部陈献青总经理告诉记者,用户的账号安全是个人信息保护很重要的基础,如果账号本身很容易被入侵,个人信息安全已经无从说起。
相信很多人都能发现,如今的网站登录密码规则要求越来越多,密码中需要包含大小写字母、需要包含英文和数字等等,让密码越来越复杂。
可是,复杂的密码就真的安全吗?
陈献青介绍,账号安全面临的问题很多,密码实际上是很容易被泄露的,如果密码规则要求比较简单,面临的问题是密码会被猜中,如果复杂了呢?用户体验会非常糟糕。可是,复杂真的可以解决问题吗?事实上不是。
“复杂的密码实际上仅仅是对于用户复杂了,对于黑客来说和简单的密码比没有任何区别。在复杂的密码规则下,实际上没有多大的意义。”陈献青称。
那么用短信验证码,这样就安全了吗?陈献青告诉记者,“有更多的行为,包括前两周发GSM的短信很容易被劫持,如果短信容易被劫持,短信验证码的安全从哪里来?从密码学的角度来说,短信验证码以明文的方式传递密码已经不可靠。现在很多账号的安全本身依赖于手机,比如说我忘了密码,找回密码怎么办?通过短信验证码或者给用户发一个账户的变化信息,是以短信的方式发给他,包括水、电、煤等账户的变化很多都是以短信的方式发送。但这个号码还是这个用户在用吗?很可能是别的用户在用。开户注册的号码已经不是原来的人了。”
“无密码更安全。”陈献青举了个例子,“手机上有两个特殊的应用:电话拨号盘的应用和发短信号码的应用。这两个应用没有账号的登陆,但从不会出现我的号码在别人那里,别人盗了我的手机号码,目前还没有这方面的新闻。因为基于一个硬件SIM卡的安全来保障,这个号码就在你的手里,别人盗不了。这个能力资源是可以开放给业界使用,我们通过这种方式使用,让所有的APP都像电话拨号盘以及新消息两个应用那样安全,别人盗不了。”
工信部大力度监管 违规软件将被下架
在刚刚结束的2018中国互联网大会期间,个人信息隐私保护问题被重点关注。工业和信息化部网络安全管理局副局长杨宇燕,电信终端产业协会理事长、移动安全联盟理事长谢毅博士等与来自终端厂商、互联网企业、安全厂商、科研院所的代表共两百余人共同签署了《移动安全联盟漏洞信息披露和处置自律公约》。
中国互联网协会个人信息保护工作委员会主任委员周汉华指出,《个人信息保护法》的制定一直是各界呼吁的热点问题。“大数据时代,开发的力度越大,数据面临的风险就越大,失衡现象就愈发严重和常见。”周汉华称。
工业和信息化部信息通信管理局副局长隋静介绍,工业和信息化部作为行业主管部门,高度重视个人信息保护工作,始终将维护用户合法权益、保障行业健康有序发展作为监管的重要理念。一方面,着力完善个人信息保护的规章制度,2013年制定出台了工信部第24号令,即《电信和互联网用户个人信息保护规定》。。在24号令中明确了电信业务经营者、互联网信息服务提供者个人信息收集和使用的规范,提出防止个人信息泄露、损毁、篡改或者丢失的安全保障要求。同时,工信部还发布了《电信和互联网服务用户个人信息保护定义及分类》等多项通信行业标准,对电信业务经营者收集使用用户个人信息的行为提出了严格地要求。目前,工信部正在抓紧推动出台个人信息保护和网络数据管理的有关政策,对网络数据收集、使用等行为做出更明确的要求。
隋静哈介绍,工信部正在大力加强事中事后监管,督促电信和互联网企业严格落实《网络安全法》,全国人民代表大会常务委员会《关于加强网络信息保护的决定》和工信部24号令等相关规定,加强对用户个人信息收集使用规则的告知、账号注销等环节的监督检查和违法违规处置。持续开展手机应用软件、用户个人信息保护技术检测,对存在未经用户同意收集和使用用户个人信息等问题的违规软件责令下架并公开曝光。
