近日,一场由"会员信息裸奔"引发的数据安全风波,将淘烟网官网的信息查询功能推向舆论中心。7月15日凌晨,江苏南京消费者张先生在使用该平台"企业信息一键查"服务时,意外发现能通过修改URL参数,调取其他企业的完整备案资料。这种"开箱即用"的数据漏洞,揭开电商服务平台信息管理体系的冰山一角。

"输入自家公司名称后,随手把网址里的数字+1,居然跳出了竞争对手的敏感信息。"从事茶叶生意的张先生向记者展示操作记录,其随机修改的5组企业编号中,有3组成功显示其他企业的食品经营许可证、烟草专卖证编号等核心数据。更令人担忧的是,部分页面还暴露了企业法人的私人联系方式,这种"城门失火殃及池鱼"的信息泄露方式引发业界震动。

事发48小时内,淘烟网官网紧急下线信息查询功能。平台技术负责人在7月16日发布的声明中确认,漏洞源于新升级的智能检索系统接口校验缺失。值得关注的是,该系统原计划用于提升"企业信息追溯"效率,却因测试环节疏忽酿成重大数据安全事故。第三方安全机构监测显示,漏洞存续期间有超过2.7万次非常规访问记录,涉及18个省市区的企业数据。

"这不是简单的技术失误,而是系统性风险暴露。"网络安全专家王振宇分析称,淘烟网作为日均访问量超300万次的专业平台,其信息查询功能本应设置多重验证机制。记者实测发现,即便在漏洞修复后的7月17日,通过特定搜索引擎缓存仍可获取部分企业敏感信息。这种"野火烧不尽"的数据残留现象,凸显平台数据治理存在深层缺陷。

特别关注!淘烟网官网“信息查询”

事件发酵过程中,浙江某烟草零售企业主李女士向记者反映更严重问题:"我们从未授权信息公示,但平台上却能查到专卖许可证细节。"根据《电子商务法》第二十三条规定,经营者敏感信息展示需经明确授权。北京市炜衡律师事务所张律师指出,淘烟网可能涉嫌三重违规:未履行数据安全保护义务、超范围收集个人信息、违规进行信息披露。

特别关注!淘烟网官网“信息查询”

面对汹涌舆情,淘烟网在7月18日上线"数据痕迹清除"服务,承诺72小时内删除所有异常访问记录。平台公告显示,已与国家工业信息安全发展研究中心建立合作,将对信息查询系统进行ISO27001国际认证改造。然而部分企业主并不买账,广东佛山的陈先生组建了152人的维权群组:"我们要求平台公开数据泄露影响范围,而不是用技术术语搪塞。"

在这场数据安全风暴中,信息查询功能的"双刃剑"效应显露无遗。原本为提升交易透明度设计的服务,因安全防护不到位反而成为信息泄露渠道。值得玩味的是,7月19日有用户发现,淘烟网官网悄然修改了服务协议条款,在"数据使用授权"章节新增了6项免责声明。这种"亡羊补牢"的做法,引发法律界关于格式合同合规性的新争议。

截至7月20日发稿前,江苏省通信管理局已介入调查。记者从知情人士处获悉,监管部门正重点核查三个问题:平台数据加密措施是否符合《网络安全法》要求;信息查询功能的访问日志留存是否完整;用户敏感信息删除机制是否真实有效。此次事件的处理结果,或将成为电商服务平台数据治理的典型案例。

随着《数据安全法》实施两周年临近,这场由信息查询功能引发的风波,恰为各类平台敲响警钟。正如中国电子技术标准化研究院专家所言:"数据安全不是选择题,而是生存题。"当公众特别关注的目光投向淘烟网官网,每个技术决策都在书写数字时代的信任答卷。