●真实姓名、证件号、生日、电话、地址等一览无余
●疑为程序设置问题导致后台数据权限控制出错
南都讯 记者陈万如近日国内多个商业网站的用户信息被泄露,愈演愈烈的“泄密门”中,政务网站也未能幸免于“数据裸奔”。昨天上午,网友在新浪微博揭露了广东省公安厅出入境政务服务网网站后台存在漏洞。获得漏洞地址的人士可以访问2011年6月24日至昨日所有网上申请者提交的信息,共计444万余条。
问题一个月前就暴露
昨日早上,知名IT人士@月光博客发布微博:“广东省公安厅出入境政务服务网网上申请数据泄露,几乎全部提交网上申请用户的真实姓名、护照号码、港澳通行证号码遭到泄密,目前该漏洞还没有修复。”并提供了相关信息的模糊截图。
记者从相关人士处获得漏洞地址http://crj.gdga.gov.cn/*******。网页显示是网上申请数据的列表。根据泄露网页首页和末页的数据,此次泄露的信息范围是2011年6月24日至昨日中午12:30前所有通过网站申请签注的用户资料,总数高达4441387条。
最新信息为昨日中午12时30分李*的申请记录。点击每条记录,可看到用户的出生年月、邮寄地址、邮编、电话、证件有效期、出境事由等信息。记者在该网页搜索栏内输入自己的通行证号码,赫然发现自己下半年三次申请港澳签注的记录和相关的个人信息。
据记者调查,相关漏洞由一名网名为“刺刺”的程序员发现,11月29日“刺刺”将漏洞信息提供给“乌云(WooY un)”平台,昨日早上“乌云”将漏洞信息交由著名IT人士“@月光博客”发布。“乌云”平台的负责人表示,11月29日收到漏洞信息后他们已交给相关部门处理,因为处理漏洞需要时间,所以他们在一个月后才公布漏洞。
程序员称是“低级错误”
“@月光博客”分析,此次漏洞估计为程序设置问题,查看后台信息功能的权限控制错误,导致普通用户可以绕过登录环节,直接访问后台页面查看数据。
资深程序员、某电子商务网站创始人徐湘涛表示,一般来说,涉及后台数据时,每个网站的管理人员会根据职责得到不同的信息权限。在用户数据页面展现之前,应该有“校验身份”的过程,相关人员登录、通过校验后,才能访问后台信息。“在外网输入网址就能查看后台数据,对程序员来说这是一个挺低级的错误。”
就近日连串泄密事件,“@月光博客”评论道:“相当于实名制网站的电子商务平台泄露的数据是最恐怖的……最令人郁闷的是,用户没有应对措施,去电商网站购买商品,不可能留下假的名称、假地址、假手机号码”。而他认为,“政府类服务网站泄露信息危害更大,导致很多不上网的用户资料信息也遭到泄露,比商业网站出问题可怕百倍。”
事件处置
省公安厅:网站确有技术漏洞
昨晚9时许称已修补完毕,外泄网页已无法访问
南都讯 记者陈万如 周皓昨日中午12时,证实漏洞存在后,记者马上向省公安厅反映。昨日13点30分后,相关网页无法访问,显示“内部服务器故障”。
昨晚9时许,省公安厅通过官方微博“@平安南粤”回应称:“近日,网上有消息称,广东省公安厅出入境政务服务网存在技术漏洞问题。广东省公安厅对此高度重视,迅速成立专责小组对该情况进行核查。经初步调查,该网站确实存在技术漏洞,现已修补完毕。”
在另一条微博中,“@平安南粤”称:“目前,公安机关正对该事件做进一步调查。公安机关提醒,任何在网上非法入侵、窃取数据都属违法犯罪行为,公安机关将对此严厉打击。群众一旦发现上述行为,请立即向公安机关举报。”
截至昨晚,此前泄露出的后台网页,外网已无法访问。
网站“泄密”并非近期才密集发生
业内人士称各大网站数据库泄露圈内已流传多年;用户对“泄密”完全不可控,只能靠网站维护
南都讯 记者陈万如 继CSDN、天涯社区等网站用户信息外泄后,这场“泄密”风波逐渐超出社交网站的范畴,蔓延至电子商务、银行业甚至政府网站,引起人们对网络上个人信息安全的担忧。
互联网人士指出,网站“泄密”情况一直都有,只是近期被密集曝光。问题主要出在国内很多网站包括政务网站系统架构水平低、安全意识差。用户对此完全不可控,只能靠网站不断维护。
明文保存密码是“泄密”根源
资深程序员徐湘涛表示,首先,明文保存密码是多个商业网站用户信息被泄露的关键。另外目前国内不少网站包括政务网站,系统架构水平较低,网站开发和管理人员的安全意识比较差。“网站需要做好数据隔离,最基本的比如用多层防火墙隔离存储用户数据的服务器,限定只能在内网访问该服务器,外网不能访问。”
按照我国有关规定,银行网站必须进行“代码审计”,在网站开发人员之外另聘第三方的专业人员审查网页代码是否存在漏洞,但对电子商务网站尚未有此要求。美国则要求在其资本市场上市的互联网公司进行“代码审计”。
网站“泄密”杀毒软件也无奈
对近期多个网站连续被曝光泄露用户信息,徐湘涛表示,这些事情一直都在发生,不是在近期密集发生,而是密集被公开。各大网站的数据库被爆,在圈子里已经流传好几年了,在C SD N泄密被公开后,新闻效应导致其他网站的漏洞也被踢爆。
金山反病毒工程师李铁军也表示,从各个网站被泄露的用户数据来看,这些数据被泄露已有几个月甚至是几年的时间,并非近期窃取的数据。
“泄密问题出在服务端,用户完全不可控,装在客户端的杀毒软件也无法防止。软件的漏洞总是不断地被发现,只能靠网站不断维护。”李铁军指出,如果网站请专业的安全团队做维护,分析访问日志,会发现黑客入侵信息,堵截相关漏洞;否则可能出现“被黑客盗取资料仍懵然不知”的情况。
受损用户有权向网站索赔
此外,北京市盈科(广州)律师事务所律师贺俊从法律角度分析指出,如果是黑客入侵窃取数据,按照2009年我国通过的《刑法》修正案规定,构成了非法窃取计算机信息数据罪。如果是网站内部员工泄露了数据,那么根据《侵权责任法》,这也是侵犯公民隐私权的行为。
“不管是黑客入侵还是内部泄露,网站既构成侵权,又构成违约。如果用户因为信息泄露造成损失,有权向网站索赔。”
支招
如何保护个人信息安全?
互联网时代,普通网民应该如何保护个人信息安全?
反病毒工程师李铁军建议,网友应该把日常使用的网络服务分类,重要服务如邮箱等,需设置专用密码,避免黑客获得其他网站泄露的数据库入侵邮箱。
李铁军特别强调,网民需注重常用邮箱的账号和密码安全,一旦邮箱被入侵,黑客可以从邮件的信息中获取联系人、职业和使用者个性等信息,有可能冒用身份,发送病毒邮件和木马后门程序,实现诈骗等活动。“邮箱就像保险箱,里面有打开其他服务的全部钥匙。”
而徐湘涛就针对用户密码,给出了几点提醒:
1.别以为你的账号不值得被利用,黑客会用程序批量扫描;
2.营销公司、诈骗团伙对你的信息包括社交网络关系很感兴趣;
3.最好是各站用户名邮箱密码均不同,至少银行、金融支付等重要密码和普通的娱乐、社交网站不同。
4.退而求其次的办法是,密码根据对应网站作相应变化,如新浪密码后面加上na,百度的密码加上du。
背景
今年网站“泄密”事件
8月4日 湖南省公安厅官网泄露超过3000名申请赴港的港人内地配偶的详细资料。
12月21日知名程序员网站CSDN的一份用户数据库由于未查明原因被曝光,包含超过600万个注册邮箱账号和对应明文密码。
12月22日网友爆料游戏网站多玩网有800万用户资料被泄露。同日,网上还流传着疑似人人网、猫扑、7K7K等多个网站的用户信息库。
12月25日天涯社区4000万用户账号和密码被泄露,天涯表示“天涯社区早期使用过明文密码,此次被盗的数据为2009年之前的备份数据”。
12月27日京东商城在某些业务上存在用户权限控制不当的漏洞,导致用任意用户登录后都可以访问到所有用户的姓名、地址、电话、Email等。(南方都市报 www.nddaily.com SouthernMetropolisDailyMark 南都网)
12月29日过千万的支付宝用户的账号被泄露,支付宝回应称“单纯的支付宝账号不是私密信息,对用户资金安全没有任何威胁”。 整理:南都记者 陈万如
交通工商民生银行
否认用户资料外泄
南都讯 记者陈万如 据互联网资讯平台挨踢客的消息称,网友向挨踢客爆料,国内多家银行的用户数据已经泄露,其中包括交通银行7000万和民生银行3500万用户。根据网友提供的部分信息截图,泄露数据的银行包括交通银行、民生银行、工商银行等,数据包含了用户的姓名、卡号、密码等敏感信息。
昨日下午,民生银行和交通银行均在各自的官方网站发表正式声明,称传言失实,否认有资料外泄的情况。工商银行也向媒体发函,称用户资料安全,并无外泄情况。
资深程序员@徐湘涛也认为,银行系统里不可能存在明文密码,那个文件里的所谓密码不可能是银行卡密码。最大可能性是第三方支付平台的用户数据被盗,泄露了卡号和姓名,密码是第三方支付平台的支付密码。