劉建明：挺利索的。

陳永仁：我也讀過警校。

劉建明：你們這些臥底真有意思，老在天臺見面。

陳永仁：我不像你，我光明正大。

陳永仁：我要的東西呢？

劉建明：我要的你都未必帶來。

陳永仁：哼，什么意思，你上來曬太陽的啊。

劉建明：給我個機會。

陳永仁：怎么給你機會。

劉建明：我以前沒得選擇，現(xiàn)在我想做一個好人。

陳永仁：好，跟法官說，看他讓不讓你做好人。

劉建明：那就是要我死。

陳永仁：對不起，我是警察。

劉建明：誰知道

以上對話來自雙天王梁朝偉X劉德華在電影無間道的經(jīng)典對白，而劉德華飾演的警隊內(nèi)鬼也因為從始至終自我矛盾，自我糾結(jié)的形象成為華語電影中最具爭議的人物。

拋開這些不論，今天我們聊的就是內(nèi)鬼。

最近，雷鋒網(wǎng)在《2017電子商務(wù)生態(tài)安全白皮書》里看到一幅圖。

這幅圖意味著什么？

大家都知道，一般所說的電子商務(wù)數(shù)據(jù)安全風(fēng)險主要包括數(shù)據(jù)泄露、數(shù)據(jù)篡改、數(shù)據(jù)可用性、數(shù)據(jù)污染、數(shù)據(jù)誤用等安全風(fēng)險。

但在上圖清晰的顯示出在數(shù)據(jù)泄露風(fēng)險中，內(nèi)鬼類風(fēng)險導(dǎo)致的信息泄露事件占比為49%。隨后是賬號類、系統(tǒng)漏洞類和木馬類風(fēng)險，分別占比為16%、12%、14%。

納尼？內(nèi)鬼居然這么牛逼？他們到底是怎么進入內(nèi)部獲取用戶數(shù)據(jù)信息的呢？

我們具體以商家信息泄露這一環(huán)節(jié)來講。

商家在電子商務(wù)生態(tài)中扮演服務(wù)提供者的角色，絕大多數(shù)業(yè)務(wù)環(huán)節(jié)需要接觸到消費者隱私數(shù)據(jù)以及電商交易數(shù)據(jù)。除此之外，商家普遍存在使用第三方系統(tǒng)、系統(tǒng)外包、服務(wù)外包等情況，增加了數(shù)據(jù)管理的不可控性。

在上面這幅圖中，我們可以清晰地看到由內(nèi)鬼造成商家數(shù)據(jù)泄露竟然占比56%。

當(dāng)然，內(nèi)鬼也是分級別分手段的。

簡單粗暴，花錢買鬼

客服貝貝最近結(jié)了婚，男朋友變成老公沒多長時間兩人就經(jīng)常吵架，為的還不是還房貸、車貸各種和錢沾邊的事情嘛。貝貝也委屈，嫁了人就開始受苦，以前自己拿著一個月工資和小姐妹時常出去聚聚也過的不錯，怎么結(jié)婚了就變了呢？

正在她發(fā)愁不已的時候一名中年男子通過網(wǎng)絡(luò)找上了她，聲稱只要貝貝幫他搞到買家的一些數(shù)據(jù)就能給她一大筆錢。 

意不意外，心不心動？單蠢的貝貝被他三言兩語打動了，偷摸著把買家的個人信息給賣了出去。

像貝貝這樣的被不法分子利用盜取訂單信息，甚至做出刪除寶貝等很多惡意操作的內(nèi)鬼并不少見，他們可能知道對方的動機但鬼迷心竅，也可能輕信了對方的借口不知內(nèi)幕，但結(jié)果一樣的就是了。

戴上面具，鬼變成人

別以為內(nèi)鬼都在身邊，他可能偽裝成店家的忠實粉絲，還是那種土豪粉絲，一次買好多寶貝的那種。然后順手搭訕客服小妹，套路出來別人的交易信息。

所以有可能你的信息在不知不覺中就被賣掉了! 

化個妝，自己變鬼

雖然只有20來歲，但賴某已是盜取個人信息的老手了。他通過潛伏進電商公司當(dāng)客服人員的方式，在獲取賬號權(quán)限之后盜取大量買家個人信息并進行倒賣。

完事后他借機離職，留下后知后覺甚至什么都不知道的店家。

這些內(nèi)鬼如此猖狂就沒人管嗎？光靠警察蜀黎能成事嗎？

據(jù)雷鋒網(wǎng)了解，其實從去年開始阿里巴巴就開發(fā)了一個名為“御城河”的系統(tǒng)。名字聽起來相當(dāng)復(fù)古，其實也就是利用大量基礎(chǔ)數(shù)據(jù)，發(fā)揮數(shù)據(jù)分析能力，實時檢測和識別設(shè)備、賬號、應(yīng)用、系統(tǒng)中的異常數(shù)據(jù)訪問行為并及時給服務(wù)商、商家、物流等小伙伴提醒。

雖說是條河，但覆蓋的面積卻不小。據(jù)雷鋒網(wǎng)了解，“御城河”保護的服務(wù)商云主機涵蓋了93%淘系交易訂單，每天幫助服務(wù)商分析1.8億次核心數(shù)據(jù)訪問行為并攔截風(fēng)險，每天幫助物流商分析3500萬次，有超過300萬商家的近800萬的終端在使用受保護的服務(wù)商或物流應(yīng)用。

反正上文的慣犯賴某就在故伎重演，應(yīng)聘進入廣州的一家服裝電商，并準(zhǔn)備盜取個人信息時，被抓了個現(xiàn)行。

據(jù)受害商家回憶，“當(dāng)天突然接到淘寶小二的緊急電話，提醒我去看一下我們員工的電腦，說這臺電腦正在批量下載買家信息?！彪S后商家發(fā)現(xiàn)賴某正把1900多條買家訂單數(shù)據(jù)進行拷貝，并通過QQ發(fā)送出去。

但值得思考的是，這些被抓的內(nèi)鬼在從法律的高墻中出來后是否會重操舊業(yè)？

那就建個數(shù)據(jù)庫？把這些內(nèi)鬼的信息數(shù)據(jù)透明地放進誠信平臺里面，讓有內(nèi)鬼前科的員工曝光在整個電商行業(yè)下，沒辦法再做壞事。這就是所謂的誠信計劃。

而這些數(shù)據(jù)是由哪些人相互共享的呢？主要是電商生態(tài)安全聯(lián)盟35家成員單位，其中包含物流、商家、安全服務(wù)商、代運營商以及ISV的伙伴等。

以河御城，誠信為刀，內(nèi)鬼已被鎖定。

部分資料和觀點來源于： 2017網(wǎng)絡(luò)安全生態(tài)峰會 “電商生態(tài)聯(lián)盟”分論壇，出品：阿里巴巴集團安全部

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。