相信很多人都曾面臨過自己的訂單信息泄露引起的詐騙或者騷擾電話、典型的機票改簽騙局、訂單退款騙局等等。每次大家都很憤怒的認為電商平臺在出賣自己的信息，然而事實上是怎樣，我想從我負責訂單信息泄露兩年的實際經(jīng)歷來談談我的看法。

[[150428]]

要了解訂單究竟從哪里泄露的，要看整個產(chǎn)業(yè)的流轉(zhuǎn)情況。我們下單買一個東西，大體上要經(jīng)過商家、電商平臺、物流、最后到達用戶手中，所以這四個環(huán)節(jié)都有可能產(chǎn)生訂單信息泄露的問題。我從自己的事件庫里拉出來我們自己的一個分析，每家情況可能不一樣，僅作參考。

一、商家環(huán)節(jié)

商家和電商平臺在有些時候是一個，但在中國是有很多第三方賣家的。例如你在某寶買充氣女朋友，某寶是平臺，而賣家可能是福建一個批發(fā)街上的小鋪子。也就是自營和第三方商家的區(qū)別，一般來說我們認為自營的安全性比較高，而第三方商家則參差不齊，存在較大的風險。

在實際工作中，我們也統(tǒng)計過案例，實際上看到的數(shù)據(jù)，商家確實是訂單泄露最主要的原因。但這只是基于我們自己的數(shù)據(jù)來看。商家信息泄露表現(xiàn)比較突出的有五種原因：

1、內(nèi)部倒賣。內(nèi)部員工倒賣訂單數(shù)據(jù)分為兩種情況，一種是內(nèi)部員工行為，另一種則是黑產(chǎn)打入的行為。先說內(nèi)部員工行為，一個小型商家對員工的錄用，大家可想而之是個什么情況。不在乎學歷，不在乎背景，只要有點經(jīng)驗即可，而且待遇也比較低，員工流動也大，因此面對一些誘惑，很容易去倒賣數(shù)據(jù)，賣了幾批數(shù)據(jù)后就跑路換個其他公司接著做。還有一種是黑產(chǎn)打入，黑產(chǎn)直接派一些人去應聘，然后拿數(shù)據(jù)，也是干一陣就跑。

對付這種倒賣行為，要求商家去加強員工入職管理和權(quán)限管理，但對于這么小的商家，可能只有三五個人的商家，很難談得上什么管理，更談不上所謂的權(quán)限控制。一個大的平臺，可能會有幾百上千萬大大小小的商家，這個管理難度不亞于治理一個國家了。一個稍微可行的辦法是，要求所有商家的員工入職前統(tǒng)一上傳身份證照片，然后建一個庫，對發(fā)現(xiàn)這種行為的打上標記，禁止進入，只不過，這仍然取決與商家的管理水平，你可以想象得到，商家會隨便應付一下。但至少比沒有要好一些，能形成一些震懾力。

2、木馬病毒。商家的員工有時候會接待一些聲稱有大訂單的人物，訂單包括多種需求，所以會需要員工接收訂單文件，又或者發(fā)給員工一個鏈接，而木馬病毒就在這里了。木馬和病毒會潛伏下來監(jiān)控員工電腦操作，獲取訂單軟件系統(tǒng)信息的帳號密碼。之前我們也反復教育過商戶，不要使用QQ、郵箱之類的接收來歷不明的文件，但是面對這個群體，你能想到這種教育的效果。我們也曾經(jīng)考慮過，給商戶的電腦統(tǒng)一安裝我們自己開發(fā)的殺毒軟件，但這是一個很大的工程，木馬病毒又會不斷變形產(chǎn)生對抗，等于要成立個防毒軟件公司了，。

3、三方工具后門。在線銷售會需要一些系統(tǒng)的支撐，比如倉庫管理、訂單管理、面單打印等，市面上也有各種公司提供這一類軟件，這種軟件水平也參差不齊。有的直接就是黑產(chǎn)這種人開發(fā)的，目的就是竊取訂單信息。還有的屬于安全能力薄弱，有一些漏洞可以被利用，但是單一的某個軟件漏洞還不夠可怕，現(xiàn)在很多公司為商家提供一攬子服務，訂單系統(tǒng)的服務器都在云上，一旦突破就是一個大群體訂單泄露。所以針對這個情況，我們做了兩件事，一是要求所有的軟件系統(tǒng)都必須經(jīng)過我們的安全測試，否則不給接口，在這一關(guān)做一層控制，但這也還不夠，因為有些比如快遞打印系統(tǒng)，是不需要直接調(diào)用我們的接口的，另外即使做了代碼的檢查，也僅僅是軟件級的，出現(xiàn)事件后無法追溯到底哪個環(huán)節(jié)出了問題。所以我們又建了個云服務器區(qū)，建議商家和軟件提供商遷移到這里來，這樣一旦出了狀況，我們能通過日志分析查找根源。

例如曾經(jīng)有段時間比較流行的某訂單打印軟件，按正常功能，應該是能夠同步我們的平臺和物流公司。但在出問題的那幾周，物流公司反饋無法同步到訂單打印信息，而欺詐分子就會利用這個時間進行電話欺詐。根據(jù)這個疑點，我們停用訂單打印軟件后，這家店鋪的客戶訂單欺詐明顯消失。

4、弱口令。我們會給商戶提供一個在線的訂單管理平臺，再加上商戶自己用的平臺，都會存在弱口令問題。所謂弱口令并非是指123456這種，而是由于商戶員工的流動性，離職后密碼沒有修改造成訂單信息被竊取。我們也曾考慮過做短信校驗，但短信校驗碼就需要綁定手機，給一個公司的人綁定手機存在著實際的操作困難。后來我們采用了證書機制。但這也只是解決了自有平臺的問題，商戶自用平臺還是存在口令泄漏。在排除法上，一旦出現(xiàn)訂單信息泄露反饋，立刻修改密碼，由此來判斷是否是由于口令問題引起。

5、無線與監(jiān)聽問題。很多公司都用的是小型家用無線路由器，這種路由器一是默認密碼不修改，二是自身有漏洞。這樣黑客就可以采用DNS中間人、網(wǎng)絡監(jiān)聽流量等手段獲取網(wǎng)絡流量信息。這種情況下，改系統(tǒng)密碼、上云服務其實都沒有用處，但最重要的問題是難以發(fā)現(xiàn)。商戶完全不具備這種被攻擊的發(fā)現(xiàn)能力，除非我們做一款硬件安全路由分發(fā)給商戶。

商戶這端的風險，主要是由于商戶IT水平、管理水平較低造成，另外分散在全國甚至海外。所以如果要完全解決商戶端的風險，就幾乎意味著我們要替商戶包辦一切，從軟件系統(tǒng)到殺毒軟件，從無線路由再到人員管理，事實上對于一家電商公司來說，是幾乎不可能完成的任務。

二、用戶環(huán)節(jié)

用戶自身的問題屬于第二個比較突出的問題。能在這里看這篇文章的，對自身的安全都有防范意識，但對于小白用戶，這就是一個比較突出的問題。而且訂單信息泄露最終的受害者也是用戶，如果安撫不好處理不當，就會吃官司。

用戶這里比較突出的是問題：賬號被盜、木馬病毒、釣魚、無線。

1、 賬號被盜。這個很容易理解，不解釋了，值得一提的是目前主要是撞庫。撞庫這個事情，稍微有點技術(shù)實力的電商都會用各種手段來防御，比如設備指紋、IP判定等防掃號。

2、 木馬病毒。主要是手機端的比較突出，去年下半年一段時間，我們發(fā)現(xiàn)接近70%的訂單信息泄露是手機用戶。我們密集調(diào)研了受害用戶，發(fā)現(xiàn)在手機上確實存在安卓遠控類軟件，但種類十分繁多。所以我們在APP上增加了一些安全的功能，對其中一些數(shù)據(jù)做了特殊加密，對啟動環(huán)境進行了判斷。

3、 釣魚，偽基站釣魚是一種。另外是社工類的釣魚，冒充客服打電話、兼職招聘收集用戶信息等，其目的也主要是為了得到賬號。

4、 無線，主要是偽熱點收集信息。

用戶這的問題都比較容易理解，但對用戶端問題的解決則是一個很大的工程。這些問題的解決分為我們可以掌控的和不能掌控的。對于賬號被盜、木馬病毒，基本上我們還可以提供對應的解決方案。但對于釣魚問題，整體上已經(jīng)完全繞過了我們的平臺，釣魚問題的打擊，又可以專門寫一篇文章來說了，一般是快速發(fā)現(xiàn)、合作關(guān)閉、宣傳教育。

但是，通常用戶不會理解這里的問題，總是將責任歸于電商平臺。會產(chǎn)生投訴，甚者會產(chǎn)生司法糾紛。所以對用戶的投訴處理要慎重對待，某些特殊用戶可能要先行賠償，出現(xiàn)危機要有公關(guān)處理。

三、物流環(huán)節(jié)

物流端其實也和商戶一樣，但是結(jié)構(gòu)上會簡單一些。主要風險兩個：

1、 內(nèi)部倒賣。有倒賣系統(tǒng)數(shù)據(jù)的，但更多的是倒賣物流面單，倒賣物流訂單的特點是地域化比較集中，通常是某個門店，所以很容易歸類發(fā)現(xiàn)。而且主要集中在一些代理加盟的物流點，管理比較松散。

2、 系統(tǒng)漏洞。關(guān)于系統(tǒng)漏洞大家見得就多了，我印象中幾個大的物流公司都有出過問題，攻擊者可以直接從系統(tǒng)上撈取物流信息。

對物流公司的泄露，一是宣傳教育，二是專項打擊，配合公安幾輪打下來，他們就會引以為鑒。這里有一個判斷因子，有些情況下，訂單還沒有到物流側(cè)，用戶就接到了詐騙電話，所以在調(diào)查的時候要問清楚。

四、電商平臺

從電商自己來說，泄露訂單完全沒有意義—我是指正規(guī)電商，不是那種騙了錢就跑的。買賣這些訂單其實賺不了什么錢，還會對形象造成重大打擊，帶來無窮的麻煩和官司，完全得不償失。所以從根本上就不會想通過這種方法賺錢。

平臺端我碰到的問題主要分為兩類，內(nèi)鬼和系統(tǒng)漏洞。但內(nèi)鬼里面最突出的問題是外包，所以我單拿出來說這種問題。

1、 內(nèi)部員工作案。一個電商的業(yè)務系統(tǒng)，能夠接觸到用戶訂單的人實在太多，從客服到技術(shù)，到數(shù)據(jù)平臺，前端等都有機會接觸。內(nèi)部員工的管控相對比較容易，一個是匿名化處理，所謂匿名化處理，就是對關(guān)鍵用戶信息進行匿名或模糊處理，即使員工接觸到也無法聯(lián)系對方，或必須通過系統(tǒng)聯(lián)系對方。再一個是操作監(jiān)控，如果要偷拿訂單信息，必然是批量化，而不是個別單一訂單，從統(tǒng)計上就可以做一些規(guī)則預警。還有一個是加強警示教育，一旦發(fā)現(xiàn)，從重處理絕不姑息。內(nèi)部員工作案的幾率比較低，但一旦出事就是大事，所以這部分能夠在自己掌控的地方要處理好。

2、 外包員工。外包員工的作案大家在媒體上也屢見不鮮，外包的應用系統(tǒng)開發(fā)、基礎(chǔ)架構(gòu)的維護、客服是這里需要重點看的問題。安全部門要介入外包管理，從最開始的立項就要保證外包無法接觸到敏感數(shù)據(jù)。我們對外包除了在立項階段，還進行現(xiàn)場調(diào)研，確定外包公司的環(huán)境能夠滿足我們對安全的要求，并且不定期抽查，抽查一定會讓你有驚喜。

3、 自身的系統(tǒng)漏洞。這里我要提的幾個點，一是主要漏洞：防掃號、SQL注入、越權(quán)/遍歷問題、搜索引擎爬取，對這一類漏洞的防范，就看企業(yè)的基本功了，生產(chǎn)新上線的系統(tǒng)有沒有經(jīng)過代碼審計、滲透和掃描。另一個要說的是，其實主站問題大家都比較重視，但有很多后臺支撐系統(tǒng)，各種問題五花八門，當企業(yè)做大以后，后臺支撐系統(tǒng)出的問題不比主站少，這就要清理回收支撐系統(tǒng)，該放在內(nèi)網(wǎng)的收到內(nèi)網(wǎng)，該關(guān)的關(guān)，該改的改。

總結(jié)

1、 訂單信息泄露的渠道多樣，有很多渠道不在電商安全人員的掌控之內(nèi)，原則上是自己能夠把控的環(huán)境，一定要控制好。

2、 控制不到的地方，要想辦法延伸服務，國內(nèi)三方商家的發(fā)展也剛剛開始，不可能做到十分規(guī)范化的操作。這時候安全人員要從技術(shù)上做一些輔助工具來協(xié)助三方商家，而不是一味地指責。在這種延伸過程中，可以壯大安全部門，提高安全人員的能力，做得好，還有可能賺一些服務費。

3、 重視日志、環(huán)境數(shù)據(jù)的收集。在應急的時候，日志是泄露量判斷的主要來源，也是攻擊手法判斷的主要來源，沒有這個，丟人都不知道丟多大。再一個環(huán)境數(shù)據(jù)是指用戶側(cè)、三方商家側(cè)，用了哪些軟件、地域信息、商品類目、與誰合作都需要納入，因為很多事件不是在短期內(nèi)能夠判斷清楚的，把一定量的用戶或商家訂單泄露歸并起來，就能從環(huán)境數(shù)據(jù)上找到共同點，從而重點突破。

4、 排除法。短期內(nèi)要判斷問題，可以從排除法下手，一個軟件一個軟件的停，然后看效果。

5、 綜合解決方案。所有的訂單信息泄露引起的詐騙，有一個點至關(guān)重要，就是用戶的聯(lián)系方式，沒有聯(lián)系方式詐騙就無法進行。但在商家、物流與客戶的交易中，聯(lián)系方式又至關(guān)重要。去年看到某電商對聯(lián)系方式做了匿名化處理，我個人覺得是一個比較好的切入方式，當然工程量也很龐大，需要打通上下游一堆環(huán)節(jié)。但如果能夠徹底實現(xiàn)，黑市的訂單信息價格就會一落千丈。