深陷内鬼泄密门 支付宝已不值得信任了吗
支付宝最近又发生一起泄密事件,引发了公众对第三方支付安全问题的担忧。
尽管支付宝声称用户信息被盗卖事件并不涉及核心信息,但其引发的关注和讨论并未因此而减弱。实际上,在2013年,第三方支付出现资金被盗事件并非一例。第三方支付以“快捷”闻名快速发展的同时,安全和信任成为绕不开的一道门槛。
“支付企业的安全问题主要源于两点:一方面是企业在便捷与安全方面更偏向于前者,另外一方面是用户的教育问题,其实目前发生的一些风险事件,也是由于一些用户本身操作不当、自身防范意识不到位。”艾瑞咨询高级分析师王维东指出。
他认为,要保证支付的安全,首先,企业应尽量平衡支付便捷与安全二者之间的关系,其次是提示交易风险,对用户进行普及教育。
著名互联网分析师葛甲甚至认为,支付宝已不值得信任了。支付宝的用户数据包含大量用户隐私,如电话、地址、身份证号、购物习惯、账户余额等。如果这些资料被不法分子掌握,理论上他们可以用来实施很多犯罪行为,威胁到用户个人财务安全。
支付宝前天爆发了数据泄露丑闻,超过20g的支付数据资料被支付宝前员工从系统中窃取出去,并出售给第三方,后被媒体曝光。
这已经不是支付宝第一次发生此类事件了,前期谷歌等搜索引擎在网上能搜索到数百万条支付宝用户信息的事情,在引发了一些关注后戛然而止,从此很少被提及,此次用户隐私数据丑闻在支付宝公关部的努力下,也很可能很快远离公众视野,消弭于无形。
不过,丑闻毕竟是丑闻,还是要引起一些重视。尤其是,支付宝的用户数据包含大量用户隐私,如电话、地址、身份证号、购物习惯、账户余额等。如果这些资料被不法分子掌握,理论上他们可以用来实施很多犯罪行为,威胁到用户个人财务安全。但在记者时候的采访中,支付宝公关部认为这些数据并没有被传到网上,对社会不构成公共性危害。
从一开始,支付宝就给这件事情定了调子,那就是对社会没危害,对用户数据安全没威胁,支付宝没做错。随后支付宝就此事在微博上发表的公开致歉,证实了这一点。那么,让我们分析一下高大上企业支付宝的这份声明,看看这到底是怎样一家企业吧。
这份声明总共数百字,分为六个部分。以下为原文,括号里是我的评论。
第一部分:今天,我们关注到有媒体报道支付宝前员工李某的案件,在此向关心此事的广大用户做几点说明。
(注意了,这是个正常的开篇,但这短短几十个字能看出很多信息。首先,支付宝做这份声明的原因是注意到有媒体报道这件事了,做声明是为了在信息外泄后解释一下,而非为了提醒用户注意安全。其次,这个开篇中真正的主语是支付宝前员工李某的案件(不提隐私泄露)),说的是李某的问题,而非支付宝的问题。从开篇来看,支付宝铁了心要把这件事的责任推卸出去,这个开篇就是后面内容的基调。)
第二部分:1、基于已有的数据安全体系,阿里巴巴廉正部在2012年例行内部审计时发现了前员工李某在数据处理上的不正当行为,并在调查后将李某移送公安机关进行侦办。
(首先强调这件事是阿里巴巴内部审计时调查出来的,是阿里巴巴主动报案拿人的,这是先把主动权抓在手里的姿态。其次,提到了李某因不正当行为被扭送公安机关,拜托,不正当行为是不归公安机关管的。既用不正当行为这个词来轻描淡写这件事情本身的性质,结果还要扭送公安机关,自相矛盾。洗地的性质和捡肥皂不一样,要注意姿态。)
第三部分:2、据李某自述,其销售的数据为2010年之前不含密码,不含核心身份信息的部分非敏感交易内容,不涉及用户隐私及安全。同时,我们一直以来对于敏感数据如身份证信息、卡号、密码等全部采用先进加密技术处理,无论是在该事件之前还是之后,任何人都无法获取。
(强调这批泄露的数据不是敏感数据,强调是2010年前不包含密码的数据,强调支付宝的技术固若金汤,强调谁也得不到敏感数据。用好几个正面的强调,构成一个他们很不好意思说出来的事实,那就是数据已经泄露了,而且还抓了人。话说,如果这些泄露的数据无关紧要,为什么要抓人?公众有权知道这批信息泄露的程度,对用户信息安全到底有何种威胁。对于这些,支付宝只字未提,只是在强调他们有理,技术高大上等等,一贯的操作手法。)
第四部分:3、对于李某的行为我们深感痛心,并对由此给用户带来的不安深表歉意!但我们对此类事件会一查到底绝不姑息。
(这部分道歉了,替李某道歉,并表明决心。对于支付宝在这一过程中要承担何种责任,则闪烁其词,让人不明白支付宝是为李某的行为向公众道歉,还是为了自己在这个过程中承担的责任向公众道歉。混淆重点的手法,我们领教很久,已成习惯。)
第五部分:4、支付宝相关安全体系已经通过了包括国家信息安全测评中心、dci、dss等众多国内国际权威机构的检测认证,并设立了首席安全官体系以完善内部安全架构,确保用户信息的安全永远是我们至高无上的首要任务。
(这一段是广告,是要告诉人们支付宝的安全技术有多牛,他们对此做出了多大努力来维护用户信息安全等等。但他们还是没说清楚,支付宝在这个过程中到底该承担何种责任。)(责任编辑:韩杰)
- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。