今天下午,一则疑似『小米用户物流信息在黑市疯传』的安全事件引爆了整个互联网圈。
从301认为本次安全事件存在很多疑点和问题,需要大家去深度思考的!!!
目前互联网主要是两方面的声音。
-
小米物流数据泄露,数据量达到数十万条。
-
小米物流信息在黑市疯传!
(图1)来源 雷锋网
(图2)来源:安全媒体—安全牛
(图3)来源:网易科技
据301了解到的情况是,本次了解到的该安全事件疑似泄露的线索信息首发为nosec威胁情报平台,并且通过相关平台提供的线索信息有限,详情如下:
从相关威胁情报平台公开的信息源,我们可以了解到涉及的本次数据『泄露』情况看,可提供的线索信息有限。
本次时间了解以下几个方面的情况。
第一、本次了解到的信息源头来自QQ群信息,有疑似黑产人员正在公开售卖小米订单数据,并且反馈的信息涉及数十万条信息,其中涉及订单信息达到几万条。
第二,通过相关平台提供的问题证明信息,了解到的两张订单信息图片,可以了解到的数据信息维度主要涉及如下。
-
序号
-
邮件号(EMS 快递单号)
-
收件人地址
-
收件人电话1
-
大客户(客户类型)物流平台专属名词。
-
保价金额(部分)
-
接收时间
-
原重量(千克)物流平台业务数据。
从本次提供的信息源,我们看到涉及客户类型(大客户)、报价金额、原重量等信息,我们可以判断本次的信息为物流管理平台的截图信息,该涉及的相关信息为物流的业务数据信息,小米科技自身平台不包含以上几部分的信息,并相关平台未提供具体涉及的数量。
以下图片:(物流单号查询图)
该平台通过第一张图片涉及的1141974691207的EMS订单信息查询到该订单信息确实为真实有效的用户信息,并且通过EMS官方物流平台查询到了涉及相关用户的订单配送跟踪进度信息,订单信息时间为2016年4月2号的信息,信息源较新。
目前互联网了解到的线索本次提供的图片证明来看,本次涉及的数据信息来源于EMS物流平台后台提供的数据信息,这个数据信息是否真正大规模泄露,或正在被利用,具体细节需要涉及的物流平台方和小米科技相关人员进行确认。真正影响范围需要跟本次涉及泄露的用户进行确认,具体评估下本次涉及的影响大小。
反之,针对可能造成企业信息泄露的源头主要来自以下几个方面的问题:
第一、企业自身网站平台存在严重漏洞可能会造成信息泄露
小米科技近期是否存在严重漏洞导致大量订单数据泄露,安全是否健全,这个问题需要小米科技的相关同事来负责回答,大家只需要等待官方发布公告即可。
第二、企业内部安全,存在内部员工接触核心业务数据导致数据丢失。
企业内部员工的权限管理是否存在问题,相关数据内部员工是否能接触得到,这个问题同样小米科技的同事来进行回答,大家只需要等待官方发布公告即可。
第三、企业使用的第三方产品及服务平台存储了大量企业用户的业务数据,相关第三方平台对业务数据保管不当导致存在泄露问题。
本次涉及的案例部分,我们可以清楚的看到涉及的业务数据为第三方物流平台存在的问题,并且我们看到的情况为第三方物流平台的数据存在泄露风险导致小米科技用户受损。从而我们可以提出几个问题:
1、第三方物流管理平台是否存在漏洞?
2、是否有人真正拿到了相关数据?
3、影响范围的区域纠结是哪些用户?
4、本次涉及的用户是否已经接到欺诈或者退订电话信息?
5、相关涉事方确认后的结果是什么?
针对第三方供应链的安全问题,301之前写过『301:浅谈互联网安全现状与攻击趋势』与『301:浅谈互联网金融安全风险防范与思考』中提过第三方安全中涉及的供应链安全风险问题,本次就不在详谈。
最后:
目前301看到的问题主要是媒体捕风捉影,没有判断新闻内容的真实性对外发表观点,误导大众,导致造成不必要的安全恐。。
呼吁广大媒体正式安全事件,负责任披露涉及安全相关信息,确认信息的真实性和准确性。
呼吁广大安全从业人员正视安全事件,负责任的评论相关事件。
呼吁广大用户关注信息安全事件,重视自身安全隐私。
呼吁小米及涉及物流平台,确认本次事件的真实性和影响范围,给广大用户一个合理交代。
呼吁所有企业重视安全问题,安全无小事,重视第三方供应商/供应链的安全管理问题。
本文原创,为301独立观点,谢绝转载。
强烈推荐内容,想必您会喜欢:
长按以下二维码,关注301在路上,独立安全观点!
欢迎投(约)稿、商务合作。
微信:2036234
原文始发于微信公众号(301在路上):独立观点:小米科技物流订单数据”泄露”究竟谁之过
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论