重磅！国内电商企业数据泄露后的用户安全保护效果调研报告新鲜出炉

背景

“数据泄露”是互联网的“常态”，电商企业对于其用户的个人登录凭据泄露后的保护就显得至关重要。这也是我们通常讲的“事后安全”。基于电商企业在数据泄露后的用户安全保护现状开展了本次调研。

本期调研企业包括：

某宝
某东
某多多
某品会

全球泄露的登录凭据已达数百亿量级，本期报告节选其中约17亿的登录凭据泄露样本（2023年下半年的某次暗网事件）进行调研测试。

具体将调研以上企业在该样本中：泄露客户账号的数量，登录凭证泄露后平台的保护措施，以及客户在登录凭据泄露后是否会影响其安全性，这三个方面进行调研。

调研结果概览

本次测试调研：

某宝、某东、某多多均对其用户账号泄露后的安全性进行了有效保护，包括有效的异常登录检测和有效的二次身份认证策略；

某品会对其用户账号泄露后的安全性提供了一定保护，包括异常登录检测和二次身份认证策略，但存在不足，导致攻击者仍然可以绕过其策略成功获得其用户的正常访问权限。

具体如下所示：

调研验证详情

1. 某宝

1.1 泄露用户数量

在本次样本的泄露事件中，约32万某宝用户受到影响，泄露了其登录URL地址、登录账号、登录密码（部分用户泄露了邮箱）。

1.2 平台保护措施

在该事件泄露数据库中随机选取登录凭据进行测试：

以上测试可获得出结论：

在该事件中，某宝用户泄露的账号和密码是真实的，并可以直接通过网站平台登录；
某宝具备账号登录行为异常检测，触发后需进行二次身份验证。

具体示例如下图所示：

1.3 用户是否受到充足保护

对泄露登录凭据的账号进行二次验证尝试，以验证平台是否对泄露用户具备较充足的保护，选取以上列表中的账号b****[email protected]进行尝试，如下：

某宝账号：b****[email protected]
某宝密码：@******8

二次验证邮箱：b****[email protected]

通过ABD数据泄露检测系统可查询，该163邮箱登录密码为：******，使用该邮箱账号和密码登录其163邮箱，可获得某宝平台二次验证的6位验证码，如下图所示：

通过邮箱认证后，进行下一步认证。某宝平台在进行邮箱认证后，仍需进行多步验证：

至此，该验证未通过。

以上测试可得出结论：

某宝平台在进行二次验证时，充分考虑到其用户的验证邮箱在第三方平台泄露的场景，通过多步验证或人工验证的方式，有效的保护了其用户的安全性；
某易邮箱系统（163邮箱）对于用户登录凭据泄露无保护。

2. 某东

2.1 泄露用户数量

在本次样本的泄露事件中，约5万某东用户受到影响，泄露了其登录URL地址、登录账号、登录密码（部分用户泄露了邮箱）。

2.2 平台保护措施

在该事件泄露数据库中随机选取用户进行测试：

以上测试可获得出结论：

在该事件中，某东用户泄露的账号和密码是真实的，并可以直接通过网站平台登录；
某东具备账号登录行为异常检测，触发后需进行二次身份验证。

具体示例如下图所示：

2.3 用户是否受到充足保护

对泄露登录凭据的账号进行二次验证尝试，以验证平台是否对泄露用户具备较充足的保护，选取以上列表中的账号j****[email protected]进行尝试，如下：

某东账号：j****[email protected]
某东密码：A******4

进行身份二次验证和找回密码尝试时，均需要短信验证，尝试失败。

至此，该验证未通过。

以上测试可得出结论：

某东平台在进行二次验证时，全部使用手机短信或人工验证的方式，有效的保护了其用户的安全性。

3. 某品会

3.1 泄露用户数量

在本次样本的泄露事件中，约1万某品会用户受到影响，泄露了其登录URL地址、登录账号、登录密码（部分用户泄露了邮箱）。

3.2 平台保护措施

在该事件泄露数据库中随机选取用户进行测试：

以上测试可获得出结论：

在该事件中，某品会用户泄露的账号和密码是真实的，并可以直接通过网站平台登录；
某品会具备账号登录行为异常检测，触发后需进行二次身份验证。

具体示例如下图所示：

3.3 用户是否受到充足保护

对泄露登录凭据的账号进行二次验证尝试，以验证平台是否对泄露用户具备较充足的保护，选取以上列表中的账号152****6进行尝试，如下：

某品会账号：152****6
某品会密码：s******7

使用上述用户名密码登录后，触发某品会的异常登录检测，需要通过二次认证：

这里可以选择“通过实名认证”，只要获得目标用户的身份证号即可通过认证，通过ABD数据泄露检测系统查询，该用户注册了“某路旅游网”，登录信息如下：

登录平台地址：https://www.klook.cn
用户名：152****6
密码：s******7

该平台未进行登录异常验证，登录之后在个人信息页面可以看到完整的身份信息和身份证号，如图：

使用该身份证号可通过某品会的二次认证，如图：

成功进行二次身份认证后，可正常登录该账户：

以上测试可得出结论：

某品会平台在进行二次验证时，未充分考虑到其用户在其他第三方平台泄露的场景，仅需要提供身份证号码，不需要通过多步验证或人工验证的方式，即可解除异常登录状态，通过二次身份验证，未对其用户进行有效保护；
互联网平台“某路旅游网（https://www.klook.cn）”对于用户登录凭据泄露无保护。

4. 某多多

4.1 泄露用户数量

在本次样本的泄露事件中，约3000某多多用户受到影响，泄露了其登录URL地址、登录账号、登录密码（部分用户泄露了邮箱）。

4.2 平台保护措施

在该事件泄露数据库中随机选取用户进行测试：

以上测试可获得出结论：

在该事件中，某多多用户泄露的账号和密码是真实的，并可以直接通过网站平台登录；
某多多具备账号登录行为异常检测，触发后需进行二次身份验证。

具体示例如下图所示：

4.3 用户是否受到充足保护

对泄露登录凭据的账号进行二次验证尝试，以验证平台是否对泄露用户具备较充足的保护，选取以上列表中的账号131****3进行尝试，如下：

某多多账号：131****3
某多多密码：w******@

进行身份二次验证和找回密码尝试时，均需要手机短信验证，尝试失败。

至此，该验证未通过。

以上测试可得出结论：

某多多平台在进行二次验证时，全部使用手机短信或人工验证的方式，有效的保护了其用户的安全性。

安全建议

我们针对Apple、Google、eBay等公司进行了上述同样的调研和测试，发现其除了具备严格的异常登录检测和完善的二次验证以外，它们还与ITRC（美国司法部管辖的身份盗窃资源中心）、HIBP（数据泄露情报公司）等合作，即时获取互联网账号泄露信息，在未进行登录异常验证时即主动将其进行冻结，等待真实账户进行身份验证和解锁。

我们建议国内互联网平台企业也积极与泄露情报厂商合作，在数据泄露或用户登录凭据泄露事件发生后，第一时间将其“熄灭”，为用户提供一个安全的使用环境。

说明：以上报告由关基联盟技术支撑单位零零信安提供调研技术支持。

理事服务 | 会员服务

请联系：13810321968（微信同号）

商务合作 | 开白转载 | 媒体交流 | 文章投稿

请联系：13810321968（微信同号）