漫畫鄺野
廣東出入境政務網(wǎng)444萬條信息裸奔
用戶電話地址一覽無余 公安廳承認存在技術漏洞
29日上午,網(wǎng)友在微博揭露廣東省公安廳出入境政務服務網(wǎng)網(wǎng)站后臺存在漏洞。獲得漏洞地址的人士可以訪問2011年6月24日至當天所有網(wǎng)上申請者提交的信息,共計444萬余條。
廣東省公安廳承認,該網(wǎng)站確實存在技術漏洞,現(xiàn)已修補完畢。
>>事件
問題一個月前已暴露
29日早上,知名IT人士“@月光博客”發(fā)布微博:“廣東省公安廳出入境政務服務網(wǎng)網(wǎng)上申請數(shù)據(jù)泄露,幾乎全部提交網(wǎng)上申請用戶的真實姓名、護照號碼、港澳通行證號碼遭到泄密。”并提供了相關信息的模糊截圖。
記者登錄漏洞地址看到,該網(wǎng)頁顯示的是網(wǎng)上申請數(shù)據(jù)的列表。根據(jù)泄露網(wǎng)頁首頁和末頁的數(shù)據(jù),此次泄露的信息范圍是2011年6月24日至12月29日12時30分以前所有通過網(wǎng)站申請簽注的用戶資料,總數(shù)達4441387條。
最新信息是29日12時30分李某的申請記錄。點擊每條記錄,都可看到用戶的出生年月、郵寄地址、郵編、電話、證件有效期、出境事由等信息。記者在該網(wǎng)頁搜索欄內(nèi)輸入自己的通行證號碼,發(fā)現(xiàn)自己下半年3次申請港澳簽注的記錄和相關的個人信息。
據(jù)了解,相關漏洞由網(wǎng)名為“刺刺”的程序員發(fā)現(xiàn),11月29日“刺刺”將漏洞信息提供給“烏云(WooYun)”平臺,12月29日早上“烏云”將漏洞信息交由IT人士“@月光博客”發(fā)布。“烏云”平臺負責人說,11月29日收到漏洞信息后,他們已交給相關部門處理,因為處理漏洞需要時間,所以他們在一個月后才公布漏洞。
政府網(wǎng)泄信息危害大
“@月光博客”分析,此次漏洞估計是程序設置問題,查看后臺信息功能的權限控制錯誤,導致普通用戶可以繞過登錄環(huán)節(jié),直接訪問后臺頁面查看數(shù)據(jù)。
資深程序員、某電子商務網(wǎng)站創(chuàng)始人徐湘濤說,涉及后臺數(shù)據(jù)時,每個網(wǎng)站的管理人員會根據(jù)職責得到不同信息權限。在用戶數(shù)據(jù)頁面展現(xiàn)前,應該有校驗身份的過程,相關人員通過校驗后才能訪問后臺信息。“在外網(wǎng)輸入網(wǎng)址就能查看后臺數(shù)據(jù),對程序員來說這是一個挺低級的錯誤。”
就近日一連串泄密事件,“@月光博客”說:相當于實名制網(wǎng)站的電子商務平臺泄露數(shù)據(jù)很恐怖,用戶沒有應對措施,去電商網(wǎng)站購買商品,不可能留假名、假地址、假手機號碼。而政府類服務網(wǎng)站泄露信息危害更大,很多不上網(wǎng)的用戶資料信息也遭到泄露,比商業(yè)網(wǎng)站出問題可怕百倍。
>>處置
技術漏洞已修補完畢
29日12時,證實漏洞存在后,記者向廣東省公安廳反映。當天13時30分后,相關網(wǎng)頁無法訪問,顯示“內(nèi)部服務器故障”。
當天21時許,廣東省公安廳通過官方微博“@平安南粵”回應稱:“網(wǎng)上有消息稱,廣東省公安廳出入境政務服務網(wǎng)存在技術漏洞問題。廣東省公安廳迅速成立專責小組對該情況進行核查。經(jīng)初步調(diào)查,該網(wǎng)站確實存在技術漏洞,現(xiàn)已修補完畢。”回應還稱,是否造成信息泄露仍在調(diào)查,“就比如門被打開了,東西是否被偷走,還不得而知”。
截至29日晚,此前泄露出的后臺網(wǎng)頁,外網(wǎng)已無法訪問。
>>調(diào)查
網(wǎng)站泄密并非近期才密集發(fā)生
連日來的“泄密”風波引起人們對網(wǎng)絡上個人信息安全的擔憂。徐湘濤認為,明文保存密碼是多個商業(yè)網(wǎng)站用戶信息被泄露的關鍵。此外,國內(nèi)不少網(wǎng)站包括政務網(wǎng)站,系統(tǒng)架構(gòu)水平較低,網(wǎng)站開發(fā)和管理人員的安全意識比較差。
對于網(wǎng)站“泄密”一事,徐湘濤說,這些事情一直都在發(fā)生,不是在近期密集發(fā)生,而是密集被公開。金山反病毒工程師李鐵軍也說,從各個網(wǎng)站被泄露的用戶數(shù)據(jù)來看,這些數(shù)據(jù)被泄露已有幾個月甚至幾年時間,并非近期竊取的數(shù)據(jù)。
“泄密問題出在服務端,用戶完全不可控,裝在客戶端的殺毒軟件也無法防止。軟件的漏洞總是不斷地被發(fā)現(xiàn),只能靠網(wǎng)站不斷維護。”李鐵軍說,如果網(wǎng)站請專業(yè)的安全團隊做維護,會發(fā)現(xiàn)黑客入侵信息,堵截相關漏洞,否則可能被黑客盜取資料仍渾然不知。
此外,北京市盈科(廣州)律師事務所律師賀俊說:“不管是黑客入侵還是內(nèi)部泄露,網(wǎng)站既構(gòu)成侵權,又構(gòu)成違約。如果用戶因為信息泄露造成損失,有權向網(wǎng)站索賠。”
>>支招
如何確保信息安全
互聯(lián)網(wǎng)時代,普通網(wǎng)民應該如何保護個人信息安全?
反病毒工程師李鐵軍建議,網(wǎng)友應該把日常使用的網(wǎng)絡服務分類,重要服務如郵箱等,需設置專用密碼,避免黑客獲得其他網(wǎng)站泄露的數(shù)據(jù)庫入侵郵箱。
李鐵軍特別強調(diào),網(wǎng)民需注重常用郵箱的賬號和密碼安全,一旦郵箱被入侵,黑客可以從郵件的信息中獲取聯(lián)系人、職業(yè)和使用者個性等信息,有可能冒用身份,發(fā)送病毒郵件和木馬后門程序,實現(xiàn)詐騙等活動。“郵箱就像保險箱,里面有打開其他服務的全部鑰匙。”
針對用戶密碼,徐湘濤給出幾點提醒:
1.別以為你的賬號不值得被利用,黑客會用程序批量掃描;
2.營銷公司、詐騙團伙對你的信息包括社交網(wǎng)絡關系很感興趣;
3.最好是各站用戶名郵箱密碼均不同,至少銀行、金融支付等重要密碼和普通的娛樂、社交網(wǎng)站不同;
4.退而求其次的辦法是,密碼根據(jù)對應網(wǎng)站作相應變化,如新浪密碼后面加上na,百度的密碼加上du。
【來源:京華時報】
【編輯:漫步】