互联网公司用户信息保护不力问题自查整改报告.docxVIP

互联网公司用户信息保护不力问题自查整改报告

第一章事件回溯与影响评估

1.1事件时间轴

2024-03-1209:47安全值班邮箱收到外部白帽邮件，指出“用户中心接口/api/v2/user/profile可越权批量拉取手机号、身份证照片”。

2024-03-1210:15安全部拉取日志，确认2024-02-28至2024-03-11期间，攻击者利用“uid自增+未校验token归属”方式累计爬取1847322条用户敏感字段，涉及1247322名真实用户。

2024-03-1211:00公司法务、合规、安全、公关成立“312专项应急组”，启动《个人信息安全事件应急预案》Ⅱ级响应。

2024-03-1214:30完成接口下线、WAF规则追加、CDN缓存清理。

2024-03-1218:00完成上海市网信办电话报告与书面报告初稿。

2024-03-1310:00通过短信+Push向全量用户推送安全提醒，开通400-821-9810专线解答。

2024-03-1500:00完成第三方司法鉴定所数据勘验，出具《电子数据固定报告》。

1.2影响面量化

敏感字段泄露规模：姓名、手机号、身份证正反面照片、UID、注册时间、最近登录IP。

金融类用户（曾开通快捷支付）占比18.7%，共233249人。

未成年用户（18岁）占比4.2%，共52387人。

企业开发者调用key与secret绑定在上述UID上的比例9.1%，可能导致下游商户接口被横向利用。

舆情峰值：3月14日20:00微博话题阅读1.8亿，负面占比92%。苹果AppStore当天下架我司两款App。

1.3直接损失

监管罚款：依据《个人信息保护法》第六十六条，上海市网信办于2024-04-28下发行政处罚决定书，罚款人民币5000万元。

用户索赔：截至2024-05-31，已收到3847起司法诉讼，已和解2133起，和解金额8732万元。

品牌减值：第三方评估机构BrandFinance测算2024年品牌价值下降11.4亿美元。

第二章根因剖析

2.1技术根因

a)接口鉴权缺失：/api/v2/user/profile仅校验token存在性，未校验token与uid归属。

b)水平越权未阻断：攻击者遍历uid即可获取任意用户数据。

c)敏感字段未脱敏：身份证照片URL为永久可访问的OSS路径，未做一次性签名。

d)日志未打字段级审计：只记录“/api/v2/user/profile200”，无uid、无IP、无token指纹，导致事后无法快速溯源。

2.2流程根因

a)需求评审表“是否含敏感接口”一栏为空，安全工程师未参与。

b)代码Review清单2023版删除“越权检查”子项，理由是“业务节奏加快”。

c)上线窗口周五20:00，无灰度，直接全量。

d)渗透测试报告2024-01-15已指出“越权风险高”，但Jira工单被标记为“Won’tFix”，经办人备注“业务暂时接受”。

2.3组织根因

a)安全部汇报关系：2023年10月调整后，安全部改为CTO虚线管理，KPI中70%为“业务需求准时上线率”，导致安全工程师无法一票否决。

b)研发绩效：核心接口QPS提升20%可拿1.5倍季度奖金，安全加固不计入绩效。

c)外包占比：用户中心模块43%代码由外包供应商“杭州云速科技”编写，外包合同未约定安全质量条款。

第三章整改目标与指标

3.1合规目标

2024-09-30前通过ISO/IEC27701:2019认证；

2024-12-31前通过网络安全等级保护3.0三级测评；

2025-03-31前通过PCI-DSSv4.0补充审查。

3.2安全目标

a)敏感接口100%接入零信任网关；

b)生产环境密钥100%接入KMS，明文落库为0；

c)数据出境100%通过数据跨境传输安全评估；

d)2025年漏洞越权类高危事件0起。

3.3业务目标

a)用户信任度指数（内部调研）从2024年3月32分提升到2025年3月70分；

b)AppStore评分从3.1星恢复到4.5星；

c)因安全导致的用户流失率0.5%。

第四章制度重塑

4.1新增《用户敏感数据全流程管理办法》

适用范围：所有可定位到自然人的字段（PII）。

数据分级：

L4极高——支付密码、明文身份证、生物特征；

L3