999ZYZ玖玖资源站永久,亚洲欧美国产精品专区久久

當前位置：100EC>數字零售>研報：民生證券：小米社區(qū)用戶信息泄露事件點評

研報：民生證券：小米社區(qū)用戶信息泄露事件點評

作者：來源：發(fā)布時間：2014年05月19日 09:46:37

(電子商務研究中心訊)　　事件摘要：

　　漏洞報告平臺烏云網披露了小米公司用戶社區(qū)的安全漏洞，其指出該漏洞約有800萬小米用戶信息遭泄露，泄露信息中包括用戶的用戶名、密碼、注冊IP、郵箱等多種信息，并且漏洞報告稱其泄露信息已經被在網盤中流出，并且遭到下載并加以惡意利用，大量用戶報告稱收到了詐騙電話，并且在電話中能夠提出用戶姓名、地址、電話、商品購買記錄等準確信息，影響程度惡劣。

　　此次信息泄露事件由于拖庫造成的可能性較大

　　根據小米公司在昨天發(fā)布的社區(qū)賬號信息安全防范公告顯示，此次事件的影響范圍主要是2012年8月之前注冊的論壇賬號信息。由于小米公司的公司發(fā)展歷史較為短暫，在發(fā)展的初期，其論壇及依附論壇產生的賬號體系都使用了第三方開源程序，而在8月之后小米公司基于安全考慮將全部服務從舊論壇體系遷移至全新的賬號安全體系進行加密。從這一點可以推斷出，小米公司在進行數據遷移之時，極有可能由于防護措施不當，導致了原來數據庫被惡意拖庫，即黑客用非法手段整體下載網站的數據庫信息，從而導致了越800萬條數據的大量泄漏。

　　DLP防護將通過此事件得以重視

　　信息安全威脅有數量眾多的種類，而數據泄露則是信息安全中極其常見的一種威脅方式，此次事件的發(fā)生與DLP這一安全防護直接相關，受市場重視的程度也將進一步加深。DLP(Data Loss Protection，數據泄露防護)用于防止數據信息被非授權獲取與傳播，通常適用于三大應用場景：使用過程、傳輸過程與存儲過程，其中存儲過程包括了數據中心、服務器、數據庫的數據是否會被隨意下載、共享泄漏，而小米用戶信息泄露這一事件符合這一場景。DLP從實現角度來說不僅是通過軟件和硬件的配合，更需要一套成熟的解決方案，從制度設計、集中控制管理、策略配置和下發(fā)等方面均需要反復論證并檢驗修正。而數據泄露在目前已知的威脅方式中對企業(yè)和政府中的危害程度巨大，未來對于DLP產品及方案的需求也必然隨著事件發(fā)生和趨勢所迫而高企，成為信息安全投入的重要組成部分。

　　開源系統(tǒng)的安全性值得關注

　　由于眾多互聯網公司由于規(guī)?；蛘叱杀镜目紤]，使用開源免費的數據庫來構建網站論壇和用戶賬戶系統(tǒng)，然而在初期的設計以及后期的更新維護方面對于安全性的考慮尚不夠充分，存在很大的安全隱患。此次事件造成的原因之一也是使用了第三方開源程序，其安全性方面與成熟的數據庫產品而言仍然存在不小的差距。而從開源數據庫切換至商用數據庫對于很多中小互聯網廠商而言短時間內并不現實，通過采用安全廠商方案或在開源系統(tǒng)上加以改進修復將成為提升開源系統(tǒng)安全性切實可行的方式。此次事件暴露出來的問題將使得采用開源系統(tǒng)的廠商關注并著力解決隱含的威脅，無論在數據庫的使用還是未來的數據庫遷移都將提升安全防護的層次，避免此類事件的發(fā)生。

　　具備DLP產品研發(fā)及方案設計經驗的公司將充分受益

　　盡管此次小米用戶信息泄露是事件性因素，但是防止數據泄露是保護商業(yè)價值、維護社會安定乃至增加國家利益的重要實施措施和未來發(fā)展趨勢，也是國家網絡安全戰(zhàn)略的重要組成部分。在國家政策指引及下游需求凸顯的大背景下，具備DLP產品研發(fā)及方案設計經驗的公司將脫穎而出，推薦綠盟科技、啟明星辰等信息安全龍頭公司。

　　風險提示:

　　政策扶持政策尚未明朗。(來源：民生證券文/尹沿技王喆編選：網經社）

浙江網經社信息科技公司擁有18年歷史，作為中國領先的數字經濟新媒體、服務商，提供“媒體+智庫”、“會員+孵化”服務；（1）面向電商平臺、頭部服務商等PR條線提供媒體傳播服務；（2）面向各類企事業(yè)單位、政府部門、培訓機構、電商平臺等提供智庫服務；（3）面向各類電商渠道方、品牌方、商家、供應鏈公司等提供“千電萬商”生態(tài)圈服務；（4）面向各類初創(chuàng)公司提供創(chuàng)業(yè)孵化器服務。

網經社“電數寶”電商大數據庫（DATA.100EC.CN，免費注冊體驗全庫）基于電商行業(yè)18年沉淀，包含100+上市公司、新三板公司數據，150+獨角獸、200+千里馬公司數據，4000+起投融資數據以及10萬+互聯網APP數據，全面覆蓋“頭部+腰部+長尾”電商，旨在通過數據可視化形式幫助了解電商行業(yè)，挖掘行業(yè)市場潛力，助力企業(yè)決策，做電商人研究、決策的“好參謀”。