河北網絡安全博客

河北博客是一個關注網絡安全、網站設計、網站推廣、網站優化SEO、網站建設的河北地方博客。

« 北京黑客篡改數據案破獲 已追繳贓款820余萬元Anonymous黑客公布更多智庫Stratfor用戶信息 10大搜索引擎置頂金融機構官網 »

粵出入境政務網400萬數據裸奔 當當支付寶卷入泄密門 網傳上億用戶銀行卡信息遭泄露

   近日國內多個商業網站的用戶信息被泄露,愈演愈烈的“泄密門”中,政務網站也未能幸免于“數據裸奔”。昨天上午,網友在微博揭露了廣東省公安廳出入境政務服務網網站后臺存在漏洞。獲得漏洞地址的人士可以訪問2011年6月24日至昨日所有網上申請者提交的信息,共計444萬余條。

  問題一個月前就暴露

  昨日早上,知名IT人士@月光博客發布微博:“廣東省公安廳出入境政務服務網網上申請數據泄露,幾乎全部提交網上申請用戶的真實姓名、護照號碼、港澳通行證號碼遭到泄密,目前該漏洞還沒有修復。”并提供了相關信息的模糊截圖。

   記者從相關人士處獲得漏洞地址http://crj.gdga.gov.cn/*******.網頁顯示是網上申請數據的列表。根據泄露網頁首頁和末頁的數據,此次泄露的信息范圍是2011年6月24日至昨日中午12:30前所有通過網站申請簽注的用戶資料,總數高達4441387條。

  最新信息為昨日中午12時30分李*的申請記錄。點擊每條記錄,可看到用戶的出生年月、郵寄地址、郵編、電話、證件有效期、出境事由等信息。記者在該網頁搜索欄內輸入自己的通行證號碼,赫然發現自己下半年三次申請港澳簽注的記錄和相關的個人信息。

  據記者調查,相關漏洞由一名網名為“刺刺”的程序員發現,11月29日“刺刺”將漏洞信息提供給“烏云(WooYun)”平臺,昨日早上“烏云”將漏洞信息交由著名IT人士“@月光博客”發布。“烏云”平臺的負責人表示,11月29日收到漏洞信息后他們已交給相關部門處理,因為處理漏洞需要時間,所以他們在一個月后才公布漏洞。

  程序員稱是“低級錯誤”

  “@月光博客”分析,此次漏洞估計為程序設置問題,查看后臺信息功能的權限控制錯誤,導致普通用戶可以繞過登錄環節,直接訪問后臺頁面查看數據。

  資深程序員、某電子商務網站創始人徐湘濤表示,一般來說,涉及后臺數據時,每個網站的管理人員會根據職責得到不同的信息權限。在用戶數據頁面展現之前,應該有“校驗身份”的過程,相關人員登錄、通過校驗后,才能訪問后臺信息。“在外網輸入網址就能查看后臺數據,對程序員來說這是一個挺低級的錯誤。”

  就近日連串泄密事件,“@月光博客”評論道:“相當于實名制網站的電子商務平臺泄露的數據是最恐怖的……最令人郁悶的是,用戶沒有應對措施,去電商網站購買商品,不可能留下假的名稱、假地址、假手機號碼”。而他認為,“政府類服務網站泄露信息危害更大,導致很多不上網的用戶資料信息也遭到泄露,比商業網站出問題可怕百倍。”

  事件處置

  省公安廳:網站確有技術漏洞

  昨晚9時許稱已修補完畢,外泄網頁已無法訪問

  南都訊 記者陳萬如 周皓 昨日中午12時,證實漏洞存在后,記者馬上向省公安廳反映。昨日13點30分后,相關網頁無法訪問,顯示“內部服務器故障”。

  昨晚9時許,省公安廳通過官方微博“@平安南粵”回應稱:“近日,網上有消息稱,廣東省公安廳出入境政務服務網存在技術漏洞問題。廣東省公安廳對此高度重視,迅速成立專責小組對該情況進行核查。經初步調查,該網站確實存在技術漏洞,現已修補完畢。”

  在另一條微博中,“@平安南粵”稱:“目前,公安機關正對該事件做進一步調查。公安機關提醒,任何在網上非法入侵、竊取數據都屬違法犯罪行為,公安機關將對此嚴厲打擊。群眾一旦發現上述行為,請立即向公安機關舉報。”

  截至昨晚,此前泄露出的后臺網頁,外網已無法訪問 南都訊 記者陳萬如

        昨日,有消息稱,當當網1200萬全字段用戶資料遭到泄露,相關數據已經在黑市上流通。同日,支付寶也被曝出用戶信息大量泄漏,泄漏總量甚至達到1500-2500萬。此前,京東商城曾被指存在安全漏洞,有可能導致用戶資料完全泄漏。

  自本月21日,CSDN網站600萬用戶個人信息遭泄露后,天涯、開心網、珍愛網等眾多網站被卷入“泄密門”。而隨著事件的不斷發酵,電商行業也被波及,并面臨著一場空前的安全危機。

  京東當當支付寶先后卷入“泄密門”

  27日,國內安全問題反饋平臺烏云曝出京東商城存在“用戶權限控制不當”的漏洞,“會導致任意用戶登錄系統后,都可以正常訪問到所有用戶的信息,包括:姓名、地址、電話、E-mail等。”京東商城隨后回應稱,“我們并未發現任何相關漏洞存在,也沒發現數據泄露情況,我們的用戶數據都是加密處理的,因而十分安全,大家可以放心。”

  然而,辟謠和安撫并沒能減輕公眾的恐慌情緒。28日,當當網和支付寶均被曝出用戶信息遭到泄露消息。有網友爆料稱,當當網1200萬全字段用戶資料已經泄露,其中包含了用戶姓名、郵箱、地址、電話等詳細信息,而涉及數據甚至已在黑市上流通。而支付寶出不幸中招的用戶則達到了1500-2500萬,而這些數據正在被用于網絡營銷。加上“泄露門”事件發生之初就已中招的走秀網和佳品網,被這場“史上最大規模”的用戶信息泄露事件波及的電商行業網站已達到5家。

  佳品網負責人此前表示,電子商務網站本身不可能主動的泄露用戶的個人信息,但在信息就是財富的商業社會中,誰掌握了用戶的信息誰就掌握了商業上的主動。同類商家的惡意競爭,覬覦競爭對手的優質用戶數據,繼而產生了不法產業的產生。在利益的驅動下,黑客以及上、下游服務提供方,通過不正當的途徑竊取用戶個人信息,進行不道德的出售牟取暴利擾亂市場,希望相關法律部門予以追究和制裁。

  國家標準尚未出臺 漏洞監管僅憑自覺

  法律專家趙占領近日向媒體透露,關于個人信息保護的首個國家標準仍在制定階段。而現階段,網絡漏洞的監控與管理仍需靠電商網站的自覺。但趙占領同時表示,《中華人民共和國侵權責任法》中明確保護公民的隱私權,《刑法》也規定了泄露個人信息可能要承擔刑事責任,用戶可以通過民事、刑事途徑維權,但關鍵是證據比較難收集。

  《新京報》評論也認為,要想解決用戶個人信息問題,最重要的還是完善相關法規,明確各方保護互聯網個人信息的責任。用法律逼迫網站安全技術升級,同時也應讓那些不負責任的網站,依法受到懲罰。

  工信部介入 要求企業嚴防漏洞

  隨著泄密事件愈演愈烈,工信也在昨天發布通告強烈譴責竊取和泄露用戶信息的行為。

  工信部要求,發生用戶信息泄露的網站,要盡快通過網站公告、電子郵件、電話、短信等方式向用戶發出警示,提醒用戶修改在本網站或其它網站使用的相同用戶名和密碼。未發生用戶信息泄露的網站,必要時應提醒用戶修改密碼。

  工信部同時要求互聯網站要開展全面的安全自查,及時發現和修復安全漏洞。加強系統安全防護,落實相關網絡安全防護標準,提高系統防入侵、防竊取、防攻擊能力。要采用加密方式存儲用戶信息,保障用戶信息安全。一旦發生網絡安全事件,要在開展應急處置的同時,按照規定向互聯網行業主管部門及時報告。中新網12月30日電(左盛丹)

銀行卡卡號、密碼、卡主姓名在網上都公布了!昨天,有網友爆料國內多家銀行的用戶數據已經泄露,其中涉及交通銀行的7000萬名用戶和民生銀行的3500萬名用戶。而所有涉及到的相關銀行都在第一時間發布了官方聲明,堅決否認了這一消息。

根據網友提供的部分信息截圖,泄露數據的銀行包括交通銀行、民生銀行、工商銀行等,數據包含了用戶的姓名、卡號、密碼等敏感信息。這一消息一經發出,就在網絡上快速蔓延,許多網民都發出了“快去改密碼”的驚呼。

“中午的時候在網上看到說有銀行的客戶信息被泄露了,這消息太嚇人了,寧可信其有不可信其無,我特意來銀行改一下密碼。”雖然自己財產所在的銀行并不在泄露信息的名單中,但劉女士還是到銀行修改了密碼。而且劉女士不僅在ATM機上更改了自己銀行卡的密碼,還特意排了半個多小時的隊,把存折的密碼也一并修改了。

對于用戶信息被泄露的網絡傳聞,工行、民生、交行等多家銀行都在第一時間予以否認。據工商銀行相關負責人介紹,對于客戶密碼等重要信息,工行采取了非常嚴格的措施來確保信息安全,在系統中對于客戶密碼的存儲與傳輸均采用加密方式,在與第三方公司的電子商務合作中,涉及的密碼信息均要求在該行系統頁面上進行操作。

這位負責人還表示,網絡傳言中所謂泄露銀行用戶數據中所涉及的三張工行卡均為已注銷的無效卡,且從相關文本數據結構含義上分析,其中包含了訂單號等內容,可以判斷信息不是來自銀行數據庫。

銀行業內人士表示,銀行出現用戶信息泄露的可能性不大,因為銀行用戶信息是存放在銀行的主機數據庫中,和互聯網是隔離的兩個網絡,而且用戶的信息都是加密的,“銀行內部人士也看不到”。

交通銀行信息技術管理部總經理麻德瓊昨天就此消息表示,我們對網上發布的銀行用戶信息截圖進行了認真的分析,該圖明顯不是銀行的系統頁面,“本次事件肯定是個謠傳”。“其實銀行卡的磁條上是有保密字的,只要你保護好你的卡片,防止磁條卡信息被盜,安全是有保障的。”麻德瓊同時提醒用戶,如果懷疑自己的密碼被泄露,請及時重新設置,并定期更改密碼。

專家支招

密碼別用“六個8”

“避免只用六個8、六個6、本人生日等作為密碼。”交通銀行信息技術管理部總經理麻德瓊建議,用戶在設置銀行卡密碼時,應多設幾組數字,避免使用吉祥數字等“傳統密碼”。網上銀行的密碼則建議用字母、數字、字符的組合,同時可以添加大小寫、特殊字符以增加密碼的安全程度。

專業人士同時提醒,用戶最好將自己的各類密碼進行分級管理,如網銀、支付寶等涉及資金安全的賬戶使用復雜程度最高的“一級密碼”,郵箱、即時通訊工具等使用“二級密碼”,如論壇賬號、各類會員賬戶等則可設成相對簡單好記的密碼,每級密碼各不相同,萬一泄露也不至于“一損俱損”。 (記者 姜煜 實習生 劉天驕)

站內導讀:
[京東商城曝安全漏洞 人人稱數據泄露是謠言]
[天涯4000萬用戶密碼遭泄露 新浪微博用戶密碼疑遭泄露]
[傳人人貓撲數據庫亦被盜 多玩網數據泄露已證屬實]




發表評論:

◎歡迎參與討論,請在這里發表您的看法、交流您的觀點。

訂閱河北博客

  • 訂閱我的博客:訂閱我的博客
  • 關注新浪微博:關注新浪微博
  • 關注騰訊微博:關注騰訊微博
  • google reader
  • 鮮果
  • 抓蝦
  • QQ邮箱

河北博客站內搜索

河北博客相關鏈接

河北博客熱文排行

Powered By kingwq's blog

本站采用創作共用版權協議, 要求署名、非商業用途和保持一致. 轉載本站內容必須也遵循“署名-非商業用途-保持一致”的創作共用協議.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 2.5 License.冀ICP備09002514號.Copyright www.nfwwds.tw.2010

云南快乐十分走势图基本走势图百度