河北网络安全博客

河北博客是一个关注网络安全、网站设计、网站推广、网站优化SEO、网站建设的河北地方博客。

« 北京黑客篡改数据案破获 已追缴赃款820余万元Anonymous黑客公布更多智库Stratfor用户信息 10大搜索引擎置顶金融机构官网 »

粤出入境政务网400万数据裸奔 当当支付宝卷入泄密门 网传上亿用户银行卡信息遭泄露

   近日国内多个商业网站的用户信息被泄露,愈演愈烈的“泄密门”中,政务网站也未能幸免于“数据裸奔”。昨天上午,网友在微博揭露了广东省公安厅出入境政务服务网网站后台存在漏洞。获得漏洞地址的人士可以访问2011年6月24日至昨日所有网上申请者提交的信息,共计444万余条。

  问题一个月前就暴露

  昨日早上,知名IT人士@月光博客发布微博:“广东省公安厅出入境政务服务网网上申请数据泄露,几乎全部提交网上申请用户的真实姓名、护照号码、港澳通行证号码遭到泄密,目前该漏洞还没有修复。”并提供了相关信息的模糊截图。

   记者从相关人士处获得漏洞地址http://crj.gdga.gov.cn/*******.网页显示是网上申请数据的列表。根据泄露网页首页和末页的数据,此次泄露的信息范围是2011年6月24日至昨日中午12:30前所有通过网站申请签注的用户资料,总数高达4441387条。

  最新信息为昨日中午12时30分李*的申请记录。点击每条记录,可看到用户的出生年月、邮寄地址、邮编、电话、证件有效期、出境事由等信息。记者在该网页搜索栏内输入自己的通行证号码,赫然发现自己下半年三次申请港澳签注的记录和相关的个人信息。

  据记者调查,相关漏洞由一名网名为“刺刺”的程序员发现,11月29日“刺刺”将漏洞信息提供给“乌云(WooYun)”平台,昨日早上“乌云”将漏洞信息交由著名IT人士“@月光博客”发布。“乌云”平台的负责人表示,11月29日收到漏洞信息后他们已交给相关部门处理,因为处理漏洞需要时间,所以他们在一个月后才公布漏洞。

  程序员称是“低级错误”

  “@月光博客”分析,此次漏洞估计为程序设置问题,查看后台信息功能的权限控制错误,导致普通用户可以绕过登录环节,直接访问后台页面查看数据。

  资深程序员、某电子商务网站创始人徐湘涛表示,一般来说,涉及后台数据时,每个网站的管理人员会根据职责得到不同的信息权限。在用户数据页面展现之前,应该有“校验身份”的过程,相关人员登录、通过校验后,才能访问后台信息。“在外网输入网址就能查看后台数据,对程序员来说这是一个挺低级的错误。”

  就近日连串泄密事件,“@月光博客”评论道:“相当于实名制网站的电子商务平台泄露的数据是最恐怖的……最令人郁闷的是,用户没有应对措施,去电商网站购买商品,不可能留下假的名称、假地址、假手机号码”。而他认为,“政府类服务网站泄露信息危害更大,导致很多不上网的用户资料信息也遭到泄露,比商业网站出问题可怕百倍。”

  事件处置

  省公安厅:网站确有技术漏洞

  昨晚9时许称已修补完毕,外泄网页已无法访问

  南都讯 记者陈万如 周皓 昨日中午12时,证实漏洞存在后,记者马上向省公安厅反映。昨日13点30分后,相关网页无法访问,显示“内部服务器故障”。

  昨晚9时许,省公安厅通过官方微博“@平安南粤”回应称:“近日,网上有消息称,广东省公安厅出入境政务服务网存在技术漏洞问题。广东省公安厅对此高度重视,迅速成立专责小组对该情况进行核查。经初步调查,该网站确实存在技术漏洞,现已修补完毕。”

  在另一条微博中,“@平安南粤”称:“目前,公安机关正对该事件做进一步调查。公安机关提醒,任何在网上非法入侵、窃取数据都属违法犯罪行为,公安机关将对此严厉打击。群众一旦发现上述行为,请立即向公安机关举报。”

  截至昨晚,此前泄露出的后台网页,外网已无法访问 南都讯 记者陈万如

        昨日,有消息称,当当网1200万全字段用户资料遭到泄露,相关数据已经在黑市上流通。同日,支付宝也被曝出用户信息大量泄漏,泄漏总量甚至达到1500-2500万。此前,京东商城曾被指存在安全漏洞,有可能导致用户资料完全泄漏。

  自本月21日,CSDN网站600万用户个人信息遭泄露后,天涯、开心网、珍爱网等众多网站被卷入“泄密门”。而随着事件的不断发酵,电商行业也被波及,并面临着一场空前的安全危机。

  京东当当支付宝先后卷入“泄密门”

  27日,国内安全问题反馈平台乌云曝出京东商城存在“用户权限控制不当”的漏洞,“会导致任意用户登录系统后,都可以正常访问到所有用户的信息,包括:姓名、地址、电话、E-mail等。”京东商城随后回应称,“我们并未发现任何相关漏洞存在,也没发现数据泄露情况,我们的用户数据都是加密处理的,因而十分安全,大家可以放心。”

  然而,辟谣和安抚并没能减轻公众的恐慌情绪。28日,当当网和支付宝均被曝出用户信息遭到泄露消息。有网友爆料称,当当网1200万全字段用户资料已经泄露,其中包含了用户姓名、邮箱、地址、电话等详细信息,而涉及数据甚至已在黑市上流通。而支付宝出不幸中招的用户则达到了1500-2500万,而这些数据正在被用于网络营销。加上“泄露门”事件发生之初就已中招的走秀网和佳品网,被这场“史上最大规模”的用户信息泄露事件波及的电商行业网站已达到5家。

  佳品网负责人此前表示,电子商务网站本身不可能主动的泄露用户的个人信息,但在信息就是财富的商业社会中,谁掌握了用户的信息谁就掌握了商业上的主动。同类商家的恶意竞争,觊觎竞争对手的优质用户数据,继而产生了不法产业的产生。在利益的驱动下,黑客以及上、下游服务提供方,通过不正当的途径窃取用户个人信息,进行不道德的出售牟取暴利扰乱市场,希望相关法律部门予以追究和制裁。

  国家标准尚未出台 漏洞监管仅凭自觉

  法律专家赵占领近日向媒体透露,关于个人信息保护的首个国家标准仍在制定阶段。而现阶段,网络漏洞的监控与管理仍需靠电商网站的自觉。但赵占领同时表示,《中华人民共和国侵权责任法》中明确保护公民的隐私权,《刑法》也规定了泄露个人信息可能要承担刑事责任,用户可以通过民事、刑事途径维权,但关键是证据比较难收集。

  《新京报》评论也认为,要想解决用户个人信息问题,最重要的还是完善相关法规,明确各方保护互联网个人信息的责任。用法律逼迫网站安全技术升级,同时也应让那些不负责任的网站,依法受到惩罚。

  工信部介入 要求企业严防漏洞

  随着泄密事件愈演愈烈,工信也在昨天发布通告强烈谴责窃取和泄露用户信息的行为。

  工信部要求,发生用户信息泄露的网站,要尽快通过网站公告、电子邮件、电话、短信等方式向用户发出警示,提醒用户修改在本网站或其它网站使用的相同用户名和密码。未发生用户信息泄露的网站,必要时应提醒用户修改密码。

  工信部同时要求互联网站要开展全面的安全自查,及时发现和修复安全漏洞。加强系统安全防护,落实相关网络安全防护标准,提高系统防入侵、防窃取、防攻击能力。要采用加密方式存储用户信息,保障用户信息安全。一旦发生网络安全事件,要在开展应急处置的同时,按照规定向互联网行业主管部门及时报告。中新网12月30日电(左盛丹)

银行卡卡号、密码、卡主姓名在网上都公布了!昨天,有网友爆料国内多家银行的用户数据已经泄露,其中涉及交通银行的7000万名用户和民生银行的3500万名用户。而所有涉及到的相关银行都在第一时间发布了官方声明,坚决否认了这一消息。

根据网友提供的部分信息截图,泄露数据的银行包括交通银行、民生银行、工商银行等,数据包含了用户的姓名、卡号、密码等敏感信息。这一消息一经发出,就在网络上快速蔓延,许多网民都发出了“快去改密码”的惊呼。

“中午的时候在网上看到说有银行的客户信息被泄露了,这消息太吓人了,宁可信其有不可信其无,我特意来银行改一下密码。”虽然自己财产所在的银行并不在泄露信息的名单中,但刘女士还是到银行修改了密码。而且刘女士不仅在ATM机上更改了自己银行卡的密码,还特意排了半个多小时的队,把存折的密码也一并修改了。

对于用户信息被泄露的网络传闻,工行、民生、交行等多家银行都在第一时间予以否认。据工商银行相关负责人介绍,对于客户密码等重要信息,工行采取了非常严格的措施来确保信息安全,在系统中对于客户密码的存储与传输均采用加密方式,在与第三方公司的电子商务合作中,涉及的密码信息均要求在该行系统页面上进行操作。

这位负责人还表示,网络传言中所谓泄露银行用户数据中所涉及的三张工行卡均为已注销的无效卡,且从相关文本数据结构含义上分析,其中包含了订单号等内容,可以判断信息不是来自银行数据库。

银行业内人士表示,银行出现用户信息泄露的可能性不大,因为银行用户信息是存放在银行的主机数据库中,和互联网是隔离的两个网络,而且用户的信息都是加密的,“银行内部人士也看不到”。

交通银行信息技术管理部总经理麻德琼昨天就此消息表示,我们对网上发布的银行用户信息截图进行了认真的分析,该图明显不是银行的系统页面,“本次事件肯定是个谣传”。“其实银行卡的磁条上是有保密字的,只要你保护好你的卡片,防止磁条卡信息被盗,安全是有保障的。”麻德琼同时提醒用户,如果怀疑自己的密码被泄露,请及时重新设置,并定期更改密码。

专家支招

密码别用“六个8”

“避免只用六个8、六个6、本人生日等作为密码。”交通银行信息技术管理部总经理麻德琼建议,用户在设置银行卡密码时,应多设几组数字,避免使用吉祥数字等“传统密码”。网上银行的密码则建议用字母、数字、字符的组合,同时可以添加大小写、特殊字符以增加密码的安全程度。

专业人士同时提醒,用户最好将自己的各类密码进行分级管理,如网银、支付宝等涉及资金安全的账户使用复杂程度最高的“一级密码”,邮箱、即时通讯工具等使用“二级密码”,如论坛账号、各类会员账户等则可设成相对简单好记的密码,每级密码各不相同,万一泄露也不至于“一损俱损”。 (记者 姜煜 实习生 刘天骄)

站内导读:
[京东商城曝安全漏洞 人人称数据泄露是谣言]
[天涯4000万用户密码遭泄露 新浪微博用户密码疑遭泄露]
[传人人猫扑数据库亦被盗 多玩网数据泄露已证属实]




发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

订阅河北博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • google reader
  • 鲜果
  • 抓虾
  • QQ邮箱

河北博客站内搜索

河北博客相关链接

河北博客热文排行

Powered By kingwq's blog

本站采用创作共用版权协议, 要求署名、非商业用途和保持一致. 转载本站内容必须也遵循“署名-非商业用途-保持一致”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 2.5 License.冀ICP备09002514号.Copyright www.kingwq.cn.2010