国内超95%的网站存在漏洞 千万隐私信息“裸奔”

2015 年 2 月 23 日2510

  光明网IT讯(记者 赵刚)日前,12306用户数据泄密事件引发热议,与该事件一同被关注到的还有12306随后迅速接入的360“补天”漏洞响应平台。这是该专业技术平台,首次吸引大众的强烈关注。在12306接入“补天”平台仅仅4天的时间里,已完成修复7个漏洞,发放奖金累计人民币7100元,并有22个漏洞正在修复中。

  网站高危漏洞频发

  记者在“补天”平台上看到, 安全专家们提交的各种网络漏洞多达数千页,随意翻阅漏洞详情,隐私信息泄露范围之广,触目惊心。

  和12306数据泄密事件相比,现实情况显然严重得多。仅12月,“补天”平台上提交的漏洞,涉及到居民隐私、用户密码等信息超过一亿条。

  从个人隐私到商业机密,从学历工作到汽车定位,在安全漏洞下,都能被黑客一览无余。

  一位匿名白帽子黑客30日提交的高危漏洞显示,某省计生委网站上的漏洞,导致全省超过七千万居民的隐私数据在黑客眼前“裸奔”,包括居民身份证号、住址,甚至配偶、子女和家庭关系等信息也赫然在列。

  27日提交的另一个高危漏洞,关乎商业机密。这一漏洞详情则显示,一汽集团某系统存在的漏洞,可让黑客获得该集团从2004年到2015年全部的预算数据以及上千万的用户数据。

  再看29日提交的一个高危漏洞详情:上亿条车辆GPS定位信息泄露,地址信息非常具体。

  继续翻阅,又发现了一个漏洞,简直让记者后背发麻。白帽子黑客“trap0d”28日提交的一个高危漏洞详情显示,智联招聘网上的一个漏洞,可以成功将用户登录邮箱的密码重置。也就是说,只要注册过智联招聘网站的用户,学历、职业、收入等信息都有可能被一窥究竟。

  记者了解,上述漏洞均在“补天”平台上提出,并通知相关部门和单位。

  黑色产业瞄准隐私

  记者忍不住稍微做了一个联想:假设黑客同时掌握了上述三个漏洞所泄露的信息,从其中筛选出一汽集团的用户,并定位到该用户车辆的GPS定位信息,几乎可以对其为所欲为,后果不堪设想。

  除去上述记者想象的极端情况,一般来说,隐私信息的泄露,带来最普遍、最常见的危害是定向推销骚扰。360“补天”漏洞响应平台负责人赵武在接受采访时表示:“除了定向推销,更有黑客将各种信息分门别类卖给不同的商家,例如将患者信息卖给医院或卖药的商家,甚至是给卖假药的用来做精准钓鱼。”

  目前,盗取隐私信息并加以利用,已经形成了完整的黑色产业链。此前曾有公开报道称,在南方某省,有的整个村落都在从事这种黑色产业。

  不法份子通过网络等特殊渠道购买这些隐私信息,进行定向诈骗,甚至利用盗取的身份证等信息,从事办理信用卡用于套利、伪造虚假身份等不法活动。曾有机构统计,每年,定向诈骗产生的经济损失高达数亿元。这种定向实施的诈骗,由于掌握了真实的个人信息,成功率非常高。

  有漏洞需及时处理

  赵武告诉记者,目前,国内超过95%的网站存在漏洞、超过40%的网站存在后门。因此,互联网上每天都在爆发“拖库”事件,从普通网站到手机应用软件,用户信息随时有大批量泄露的可能。“类似12306用户数据被黑客"撞库"窃取的事件,理论上在每个网站上都有可能发生。所以12306立刻接入了我们的补天平台,集中我们和安全专家的力量,共同发现和修复漏洞。”

  赵武呼吁,企业一定要加强网站的安全防护,也欢迎企业和白帽子黑客的积极参与,共同提升企业网络信息安全防护能力。

  作者:赵刚 (来源:光明网IT频道)

0 0