漫畫鄺野
廣東出入境政務(wù)網(wǎng)444萬條信息裸奔
用戶電話地址一覽無余 公安廳承認(rèn)存在技術(shù)漏洞
29日上午�����,網(wǎng)友在微博揭露廣東省公安廳出入境政務(wù)服務(wù)網(wǎng)網(wǎng)站后臺存在漏洞��。獲得漏洞地址的人士可以訪問2011年6月24日至當(dāng)天所有網(wǎng)上申請者提交的信息�,共計444萬余條。
廣東省公安廳承認(rèn)�����,該網(wǎng)站確實存在技術(shù)漏洞���,現(xiàn)已修補完畢�。
>>事件
問題一個月前已暴露
29日早上��,知名IT人士“@月光博客”發(fā)布微博:“廣東省公安廳出入境政務(wù)服務(wù)網(wǎng)網(wǎng)上申請數(shù)據(jù)泄露��,幾乎全部提交網(wǎng)上申請用戶的真實姓名��、護照號碼�、港澳通行證號碼遭到泄密��。”并提供了相關(guān)信息的模糊截圖����。
記者登錄漏洞地址看到���,該網(wǎng)頁顯示的是網(wǎng)上申請數(shù)據(jù)的列表。根據(jù)泄露網(wǎng)頁首頁和末頁的數(shù)據(jù)�,此次泄露的信息范圍是2011年6月24日至12月29日12時30分以前所有通過網(wǎng)站申請簽注的用戶資料,總數(shù)達4441387條�。
最新信息是29日12時30分李某的申請記錄。點擊每條記錄���,都可看到用戶的出生年月���、郵寄地址、郵編�����、電話�、證件有效期、出境事由等信息�����。記者在該網(wǎng)頁搜索欄內(nèi)輸入自己的通行證號碼��,發(fā)現(xiàn)自己下半年3次申請港澳簽注的記錄和相關(guān)的個人信息。
據(jù)了解���,相關(guān)漏洞由網(wǎng)名為“刺刺”的程序員發(fā)現(xiàn)��,11月29日“刺刺”將漏洞信息提供給“烏云(WooYun)”平臺��,12月29日早上“烏云”將漏洞信息交由IT人士“@月光博客”發(fā)布�����。“烏云”平臺負責(zé)人說��,11月29日收到漏洞信息后��,他們已交給相關(guān)部門處理��,因為處理漏洞需要時間����,所以他們在一個月后才公布漏洞�。
政府網(wǎng)泄信息危害大
“@月光博客”分析,此次漏洞估計是程序設(shè)置問題�,查看后臺信息功能的權(quán)限控制錯誤,導(dǎo)致普通用戶可以繞過登錄環(huán)節(jié)�,直接訪問后臺頁面查看數(shù)據(jù)。
資深程序員�����、某電子商務(wù)網(wǎng)站創(chuàng)始人徐湘濤說���,涉及后臺數(shù)據(jù)時�����,每個網(wǎng)站的管理人員會根據(jù)職責(zé)得到不同信息權(quán)限���。在用戶數(shù)據(jù)頁面展現(xiàn)前,應(yīng)該有校驗身份的過程�����,相關(guān)人員通過校驗后才能訪問后臺信息��。“在外網(wǎng)輸入網(wǎng)址就能查看后臺數(shù)據(jù)�����,對程序員來說這是一個挺低級的錯誤��。”
就近日一連串泄密事件,“@月光博客”說:相當(dāng)于實名制網(wǎng)站的電子商務(wù)平臺泄露數(shù)據(jù)很恐怖��,用戶沒有應(yīng)對措施�����,去電商網(wǎng)站購買商品�,不可能留假名、假地址��、假手機號碼���。而政府類服務(wù)網(wǎng)站泄露信息危害更大��,很多不上網(wǎng)的用戶資料信息也遭到泄露�����,比商業(yè)網(wǎng)站出問題可怕百倍���。
>>處置
技術(shù)漏洞已修補完畢
29日12時,證實漏洞存在后����,記者向廣東省公安廳反映�。當(dāng)天13時30分后����,相關(guān)網(wǎng)頁無法訪問�,顯示“內(nèi)部服務(wù)器故障”。
當(dāng)天21時許�,廣東省公安廳通過官方微博“@平安南粵”回應(yīng)稱:“網(wǎng)上有消息稱,廣東省公安廳出入境政務(wù)服務(wù)網(wǎng)存在技術(shù)漏洞問題�����。廣東省公安廳迅速成立專責(zé)小組對該情況進行核查���。經(jīng)初步調(diào)查���,該網(wǎng)站確實存在技術(shù)漏洞,現(xiàn)已修補完畢�。”回應(yīng)還稱,是否造成信息泄露仍在調(diào)查��,“就比如門被打開了����,東西是否被偷走����,還不得而知”���。
截至29日晚����,此前泄露出的后臺網(wǎng)頁���,外網(wǎng)已無法訪問����。
>>調(diào)查
網(wǎng)站泄密并非近期才密集發(fā)生
連日來的“泄密”風(fēng)波引起人們對網(wǎng)絡(luò)上個人信息安全的擔(dān)憂��。徐湘濤認(rèn)為���,明文保存密碼是多個商業(yè)網(wǎng)站用戶信息被泄露的關(guān)鍵��。此外��,國內(nèi)不少網(wǎng)站包括政務(wù)網(wǎng)站��,系統(tǒng)架構(gòu)水平較低���,網(wǎng)站開發(fā)和管理人員的安全意識比較差�。
對于網(wǎng)站“泄密”一事���,徐湘濤說�,這些事情一直都在發(fā)生��,不是在近期密集發(fā)生��,而是密集被公開���。金山反病毒工程師李鐵軍也說,從各個網(wǎng)站被泄露的用戶數(shù)據(jù)來看����,這些數(shù)據(jù)被泄露已有幾個月甚至幾年時間,并非近期竊取的數(shù)據(jù)�。
“泄密問題出在服務(wù)端,用戶完全不可控��,裝在客戶端的殺毒軟件也無法防止����。軟件的漏洞總是不斷地被發(fā)現(xiàn)����,只能靠網(wǎng)站不斷維護���。”李鐵軍說�����,如果網(wǎng)站請專業(yè)的安全團隊做維護�,會發(fā)現(xiàn)黑客入侵信息��,堵截相關(guān)漏洞��,否則可能被黑客盜取資料仍渾然不知�。
此外,北京市盈科(廣州)律師事務(wù)所律師賀俊說:“不管是黑客入侵還是內(nèi)部泄露�����,網(wǎng)站既構(gòu)成侵權(quán)��,又構(gòu)成違約��。如果用戶因為信息泄露造成損失,有權(quán)向網(wǎng)站索賠����。”
>>支招
如何確保信息安全
互聯(lián)網(wǎng)時代,普通網(wǎng)民應(yīng)該如何保護個人信息安全����?
反病毒工程師李鐵軍建議,網(wǎng)友應(yīng)該把日常使用的網(wǎng)絡(luò)服務(wù)分類���,重要服務(wù)如郵箱等�,需設(shè)置專用密碼��,避免黑客獲得其他網(wǎng)站泄露的數(shù)據(jù)庫入侵郵箱���。
李鐵軍特別強調(diào),網(wǎng)民需注重常用郵箱的賬號和密碼安全��,一旦郵箱被入侵��,黑客可以從郵件的信息中獲取聯(lián)系人�、職業(yè)和使用者個性等信息,有可能冒用身份����,發(fā)送病毒郵件和木馬后門程序��,實現(xiàn)詐騙等活動����。“郵箱就像保險箱�,里面有打開其他服務(wù)的全部鑰匙。”
針對用戶密碼����,徐湘濤給出幾點提醒:
1.別以為你的賬號不值得被利用,黑客會用程序批量掃描���;
2.營銷公司�、詐騙團伙對你的信息包括社交網(wǎng)絡(luò)關(guān)系很感興趣����;
3.最好是各站用戶名郵箱密碼均不同,至少銀行�、金融支付等重要密碼和普通的娛樂、社交網(wǎng)站不同���;
4.退而求其次的辦法是���,密碼根據(jù)對應(yīng)網(wǎng)站作相應(yīng)變化��,如新浪密碼后面加上na���,百度的密碼加上du。
【來源:京華時報】
【編輯:漫步】