廣東出入境政務網444萬條信息“裸奔”一個月
漫畫鄺野
用户電話地址一覽無餘 公安廳承認存在技術漏洞
29日上午,網友在微博揭露廣東省公安廳出入境政務服務網網站後台存在漏洞。獲得漏洞地址的人士可以訪問2011年6月24日至當天所有網上申請者提交的信息,共計444萬餘條。
廣東省公安廳承認,該網站確實存在技術漏洞,現已修補完畢。
>>事件
問題一個月前已暴露
29日早上,知名IT人士“@月光博客”發佈微博:“廣東省公安廳出入境政務服務網網上申請數據泄露,幾乎全部提交網上申請用户的真實姓名、護照號碼、港澳通行證號碼遭到泄密。”並提供了相關信息的模糊截圖。
記者登錄漏洞地址看到,該網頁顯示的是網上申請數據的列表。根據泄露網頁首頁和末頁的數據,此次泄露的信息範圍是2011年6月24日至12月29日12時30分以前所有通過網站申請簽註的用户資料,總數達4441387條。
最新信息是29日12時30分李某的申請記錄。點擊每條記錄,都可看到用户的出生年月、郵寄地址、郵編、電話、證件有效期、出境事由等信息。記者在該網頁搜索欄內輸入自己的通行證號碼,發現自己下半年3次申請港澳簽註的記錄和相關的個人信息。
據瞭解,相關漏洞由網名為“刺刺”的程序員發現,11月29日“刺刺”將漏洞信息提供給“烏雲(WooYun)”平台,12月29日早上“烏雲”將漏洞信息交由IT人士“@月光博客”發佈。“烏雲”平台負責人説,11月29日收到漏洞信息後,他們已交給相關部門處理,因為處理漏洞需要時間,所以他們在一個月後才公佈漏洞。
政府網泄信息危害大
“@月光博客”分析,此次漏洞估計是程序設置問題,查看後台信息功能的權限控制錯誤,導致普通用户可以繞過登錄環節,直接訪問後台頁面查看數據。
資深程序員、某電子商務網站創始人徐湘濤説,涉及後台數據時,每個網站的管理人員會根據職責得到不同信息權限。在用户數據頁面展現前,應該有校驗身份的過程,相關人員通過校驗後才能訪問後台信息。“在外網輸入網址就能查看後台數據,對程序員來説這是一個挺低級的錯誤。”
就近日一連串泄密事件,“@月光博客”説:相當於實名制網站的電子商務平台泄露數據很恐怖,用户沒有應對措施,去電商網站購買商品,不可能留假名、假地址、假手機號碼。而政府類服務網站泄露信息危害更大,很多不上網的用户資料信息也遭到泄露,比商業網站出問題可怕百倍。
>>處置
技術漏洞已修補完畢
29日12時,證實漏洞存在後,記者向廣東省公安廳反映。當天13時30分後,相關網頁無法訪問,顯示“內部服務器故障”。
當天21時許,廣東省公安廳通過官方微博“@平安南粵”回應稱:“網上有消息稱,廣東省公安廳出入境政務服務網存在技術漏洞問題。廣東省公安廳迅速成立專責小組對該情況進行核查。經初步調查,該網站確實存在技術漏洞,現已修補完畢。”回應還稱,是否造成信息泄露仍在調查,“就比如門被打開了,東西是否被偷走,還不得而知”。
截至29日晚,此前泄露出的後台網頁,外網已無法訪問。
>>調查
網站泄密並非近期才密集發生
連日來的“泄密”風波引起人們對網絡上個人信息安全的擔憂。徐湘濤認為,明文保存密碼是多個商業網站用户信息被泄露的關鍵。此外,國內不少網站包括政務網站,系統架構水平較低,網站開發和管理人員的安全意識比較差。
對於網站“泄密”一事,徐湘濤説,這些事情一直都在發生,不是在近期密集發生,而是密集被公開。金山反病毒工程師李鐵軍也説,從各個網站被泄露的用户數據來看,這些數據被泄露已有幾個月甚至幾年時間,並非近期竊取的數據。
“泄密問題出在服務端,用户完全不可控,裝在客户端的殺毒軟件也無法防止。軟件的漏洞總是不斷地被發現,只能靠網站不斷維護。”李鐵軍説,如果網站請專業的安全團隊做維護,會發現黑客入侵信息,堵截相關漏洞,否則可能被黑客盜取資料仍渾然不知。
此外,北京市盈科(廣州)律師事務所律師賀俊説:“不管是黑客入侵還是內部泄露,網站既構成侵權,又構成違約。如果用户因為信息泄露造成損失,有權向網站索賠。”
>>支招
如何確保信息安全
互聯網時代,普通網民應該如何保護個人信息安全?
反病毒工程師李鐵軍建議,網友應該把日常使用的網絡服務分類,重要服務如郵箱等,需設置專用密碼,避免黑客獲得其他網站泄露的數據庫入侵郵箱。
李鐵軍特別強調,網民需注重常用郵箱的賬號和密碼安全,一旦郵箱被入侵,黑客可以從郵件的信息中獲取聯繫人、職業和使用者個性等信息,有可能冒用身份,發送病毒郵件和木馬後門程序,實現詐騙等活動。“郵箱就像保險箱,裏面有打開其他服務的全部鑰匙。”
針對用户密碼,徐湘濤給出幾點提醒:
1.別以為你的賬號不值得被利用,黑客會用程序批量掃描;
2.營銷公司、詐騙團伙對你的信息包括社交網絡關係很感興趣;
3.最好是各站用户名郵箱密碼均不同,至少銀行、金融支付等重要密碼和普通的娛樂、社交網站不同;
4.退而求其次的辦法是,密碼根據對應網站作相應變化,如新浪密碼後面加上na,百度的密碼加上du。(據《南方都市報》《羊城晚報》報道)