开年不久,一加手机就曝出了官网漏洞导致信用卡泄密的事件,尽管这是丑闻无疑,但邮邮却想为一加点赞。
01
事情是这样的。
前阵子,有些一加用户吐槽自己总遭到信用卡欺诈,怀疑会不会与手机安全有关,吐槽的用户多了,逐渐引起一加的重视。
随着调查推进,一加发现,信用卡欺诈还真是自己的锅。
原来,去年11月开始,有黑客对一加手机的海外官网发起持续攻击,将恶意JavaScript脚本装进网站服务器。
用户只要在支付页面输入信用卡数据,这个恶意脚本就会被唤醒,然后直接从客户的浏览器窗口中获取完整的信用卡信息——连同卡号、到期日期和安全代码一应俱全。
这个恶意脚本隔三差五就发作一波,一直运行到今年1月11日,那些遭受信用卡欺诈的一加手机用户很可能就是被这个恶意脚本偷走信用卡数据的。
国产品牌一加在发现这个问题后,随即将受影响的服务器进行隔离,同时发布官方公告,向用户披露攻击事件原委,为确保不让更多用户受损,一加目前暂时停用了一加官网的信用卡付款选项。
02
看到这里,你可能会认为,这难道不是一加应该做的吗?
没错,当发生信息泄露事件时,企业理所应当及时给用户一个真相,然而企业出于自身的考虑,往往很难做到这一步。
为什么?
因为泄密是一个负面消息。
对比近期闹得沸沸扬扬的Uber泄密丑闻,就很容易明白企业在泄密问题上的心理。
Uber曾因软件漏洞而导致5700万乘客、车主的隐私数据,但在发现状况之后,Uber并未纠查黑客,而是自掏腰包,花10万美元先堵住黑客的嘴,让他别声张。
直到新任CEO上台,用这件事当枪杆把几位原高管搞下台,大家才知道Uber泄密案,但该事件同时也成了Uber的头号丑闻。
在当今强调隐私的社会论调里,当一家企业发生泄密事故,无论是什么原因造成的,都可能使企业名誉受损,并带来客户、合作方包括投资方的质疑。因此,企业从自身利益的角度出发,对泄密事故的披露本身大多是拒绝的。
可以说,绝大多数企业都是被迫做出公布真相的决定的。被迫的原因不外乎:
1、黑市上已有黑客叫卖数据,不做解释不可能;
2、政府有明确要求,必须对漏洞或安全事故进行公示,否则重罚,美国及欧洲一些国家就是这样做的。
震惊世界的雅虎30亿邮箱泄露案是2012、2013年间发生的事情,然而真相的真正披露却迟到了四五年,直到去年,人们才知道真正的泄露账户总数,那些遭殃的雅虎邮箱账户数据,早已被黑客在地下贩卖无数回。
03
一加的做法在国际上已经堪称表率,在国内更是几乎首屈一指。
前两年,国内某知名邮箱曾被乌云的白帽子黑客曝出漏洞,然而其后,该邮箱厂家非但不承认,乌云还被莫名封站数天,使得国内白帽子们一度对大厂只得保持缄默。前阵子,另一知名企业邮箱也曝出服务器漏洞,但消息刚出就遭到攻关,以致于全网难觅。
近一两年里,我国对公民隐私的重视空前,陆续有《网络安全法》等多部规范企业运维的法规出台,但是从实践来看,最终接受惩治的大多只是一些被抓到把柄的黑灰产业链团伙,而大厂商们,多是依靠被“约谈”来实行管控与自我管控。
对比严厉的西方法规,我国的相关法规并非十分完善,然而在此情况下,一加手机仍能做到及时公布真相、为消费者止损,的确令人敬佩。
文章来源:头条号