您的位置:首页 >> 正文
创业公司,小心掉进 “安全” 的大坑
2016年08月30日
来源: 财经综合报道
【字号: 】【打印

    地下黑产业链也随着创业大潮水涨船高。在各种产品、服务让用户生活更现代、美好时,不法分子看到的机会也更多了,“安全” 成了很容易坑死创业者的地方。比如 O2O 平台上,一个用户因为数据泄露被骗,对平台就是毁灭打击。

    引发这股黑产潮的大致原因有这么几个。首先,用户在网上留存了更多信息,黑产更容易拼凑出完整的用户信息。其次,互联网服务不再停留在信息层面,涉及到了服务,就会产生消费,有更多可乘之机。还有就是地下产业链本身的需求,比如,利用各种安全漏洞来获取不义之财,互联网金融平台多了,转换余地就更大。

    但是,对于创业公司来说,“安全” 成本比较昂贵,它比较复杂,也比较重。而且安全问题也经常被创业公司忽略。因为它比较复杂,被创业者认为是小概率事件。

    事实上,安全问题经常坑死创业者。过去几年,腾讯一直在进行一个名为 “雷霆行动” 的安全项目,专门打击地下黑色产业链。针对创业公司可能遇到的安全问题,36 氪请教了参与这个项目里的几位专家:IDF 威胁情报实验室安全专家万涛(老鹰)、腾讯互联网犯罪研究中心秘书长朱劲松和北京市公安局刑侦总队电信诈骗专家陈冬芳警官。

    创业公司容易掉进的的安全陷阱集中在三个层面。

    首先是用户获取环节。

    这其中有主动,也有恶意为之。因为竞争激烈。一些创业公司急需要获取业务,就有可能挺而走险,走灰色地带,甚至有为获得投资自己买数据刷数据 “镀金”,这就会给非法获取数据的团伙创造市场需求和生存空间

    更多创业者是不慎掉到坑里的。比如电商类产品成长到一定程度,就会有各种各样刷单套现的情况出现。其实,用户体验和安全是一对相悖的概念。用户不愿意为了小概率发生的安全事件,一次又一次承受复杂的验证。同理,创业公司也不愿意为了这个就丧失用户体验。大家要求的都是体验爽、达成率高、方便,安全往往是被忽视的问题。

    万涛认为,现在流行的短信验证是一个不太受关注但却非常致命的风险点,一些不法分子会有针对性的劫持验证短信的信息,再利用假客服进行诈骗。现在很流行的机票诈骗就是很典型的这个套路。个别第三方短信平台甚至可能会经营 “副业”,比如留下用户资料,推送广告等等。一不小心用户数据和隐私就被泄露了。

    第二是产品设计层面。

    发展初期创业公司最重视的是拉新用户、拓展业务并获取投资,安全防护不是最亟待解决的需求,或者即使有心加强安全风控,却也缺乏相应的技术能力和安全解决方案。

    对此,三位专家的建议都是加强产品的安全布局。因为创业公司的风险承受能力很脆弱,出一件大事就能让产品毁于一旦,尤其是智能硬件。PC、手机上安全问题还只是财务损失,智能硬件则直接关系到用户的生命安全。比如智能汽车,现在切入智能汽车领域的创业者普遍都从车载娱乐系统入手,这让黑掉一辆汽车变得非常简单,甚至有汽车厂主管吐槽,“菜鸟都行”。这就可能让出行非常危险。还有的健康类的硬件产品,天生就有必须有安全属性,已经有报道说美国一款带联网功能的医用输液泵可以被黑客远程控制,细思恐极。绝对不能说,因为产品在初期就能犯错。试想电动汽车特斯拉真的被犯罪分子控制制造了交通事故出来,这款产品就真的没有然后了。

    第三个层面是大数据。

    现在大部分安全问题是由撞库引发的,用通俗点的话说,就是黑客收集一批已泄露的用户名及密码信息到其他网站尝试批量登录,得到一批可以登录的用户账号及密码。如果多拿到几个数据库,撞一撞,拼一下就能得到很多用户信息。2014年12306 的账号泄密事件,黑客用这个方法获得了 13 万用户数据。不要以为地下黑产还很落后,他们早就大数据联网了。甚至,由于地下黑产的数据是无底线交换的,某些场景下的用户画像甚至比大公司还精准。这也是为什么一些诈骗短信能准确的描述用户的职业、家庭情况、小孩情况等隐私信息的原因。

    创业公司该怎么办?

    自然,安全对创业公司来说是件很头疼的事情。除了提高安全意识外,其中很多事情是需要政府主导,甚至在国际层面开展的。对于创业公司来说,最实际的方法是利用一些现有资源,特别是一些大公司开始在行业里开放安全能力,也是创业者可以借用的。以下几个方法可供参考:

    把服务器、数据放在更安全的云服务上,利用云防护搭建基本的安全防线。比如腾讯方面介绍,今年锤子手机在发布新品的时候,受到了庞大的流量攻击,后来紧急把服务器挪到腾讯云服务上,洗掉了非法流量。

    利用开放共享的安全机制补齐安全短板。比如几位专家参与的 “雷霆行动” 最近搞了一个战马计划,联合业界一起尝试建立云端黑名单和高危人群的数据分享机制,共同分享在黑产方面的数据积累;这个机制带来一个显而易见的好处,就是可以帮助创业公司分辨夹杂在正常用户里的恶意用户。比如使用 QQ 账号登录能力的互联网产品,如果一个 QQ 账号被查出有欺诈、传递木马等不良行为被归入黑名单,那这个账号在其他平台上注册新用户或者登录就会受到限制。

    最重要的一点,其实是意识上,要多和同行互通有无。互联网公司们不一定一荣俱荣,但碰到大型安全事件一定是一损俱损。最近刚刚发生的 Xcode 病毒事件,中招者从大公司到小创业者应有尽有。大家共同的对手实际上是分布在全国各地的广大高智商的犯罪团伙,一家公司、一个创业者的力量不足以抗衡,而群体的力量,必然能带来博弈和对抗的无限可能。

【字号: 】【打印】【关闭
010070160030000000000000011100001120048611