广东出入境政务网存技术漏洞 444万条信息裸奔

　　广东省公安厅承认，该网站确实存在技术漏洞，现已修补完毕。

　　>>事件

　　问题一个月前已暴露

　　29日早上，知名IT人士“@月光博客”发布微博：“广东省公安厅出入境政务服务网网上申请数据泄露，几乎全部提交网上申请用户的真实姓名、护照号码、港澳通行证号码遭到泄密。”并提供了相关信息的模糊截图。

　　记者登录漏洞地址看到，该网页显示的是网上申请数据的列表。根据泄露网页首页和末页的数据，此次泄露的信息范围是2011年6月24日至12月29日12时30分以前所有通过网站申请签注的用户资料，总数达4441387条。

　　最新信息是29日12时30分李某的申请记录。点击每条记录，都可看到用户的出生年月、邮寄地址、邮编、电话、证件有效期、出境事由等信息。记者在该网页搜索栏内输入自己的通行证号码，发现自己下半年3次申请港澳签注的记录和相关的个人信息。

　　据了解，相关漏洞由网名为“刺刺”的程序员发现，11月29日“刺刺”将漏洞信息提供给“乌云（WooYun）”平台，12月29日早上“乌云”将漏洞信息交由IT人士“@月光博客”发布。“乌云”平台负责人说，11月29日收到漏洞信息后，他们已交给相关部门处理，因为处理漏洞需要时间，所以他们在一个月后才公布漏洞。

　　政府网泄信息危害大

　　“@月光博客”分析，此次漏洞估计是程序设置问题，查看后台信息功能的权限控制错误，导致普通用户可以绕过登录环节，直接访问后台页面查看数据。

　　资深程序员、某电子商务网站创始人徐湘涛说，涉及后台数据时，每个网站的管理人员会根据职责得到不同信息权限。在用户数据页面展现前，应该有校验身份的过程，相关人员通过校验后才能访问后台信息。“在外网输入网址就能查看后台数据，对程序员来说这是一个挺低级的错误。”

　　就近日一连串泄密事件，“@月光博客”说：相当于实名制网站的电子商务平台泄露数据很恐怖，用户没有应对措施，去电商网站购买商品，不可能留假名、假地址、假手机号码。而政府类服务网站泄露信息危害更大，很多不上网的用户资料信息也遭到泄露，比商业网站出问题可怕百倍。

　　>>处置

　　技术漏洞已修补完毕

　　29日12时，证实漏洞存在后，记者向广东省公安厅反映。当天13时30分后，相关网页无法访问，显示“内部服务器故障”。

　　当天21时许，广东省公安厅通过官方微博“@平安南粤”回应称：“网上有消息称，广东省公安厅出入境政务服务网存在技术漏洞问题。广东省公安厅迅速成立专责小组对该情况进行核查。经初步调查，该网站确实存在技术漏洞，现已修补完毕。”回应还称，是否造成信息泄露仍在调查，“就比如门被打开了，东西是否被偷走，还不得而知”。

　　截至29日晚，此前泄露出的后台网页，外网已无法访问。

　　>>调查

　　网站泄密并非近期才密集发生

　　连日来的“泄密”风波引起人们对网络上个人信息安全的担忧。徐湘涛认为，明文保存密码是多个商业网站用户信息被泄露的关键。此外，国内不少网站包括政务网站，系统架构水平较低，网站开发和管理人员的安全意识比较差。

　　对于网站“泄密”一事，徐湘涛说，这些事情一直都在发生，不是在近期密集发生，而是密集被公开。金山反病毒工程师李铁军也说，从各个网站被泄露的用户数据来看，这些数据被泄露已有几个月甚至几年时间，并非近期窃取的数据。

　　“泄密问题出在服务端，用户完全不可控，装在客户端的杀毒软件也无法防止。软件的漏洞总是不断地被发现，只能靠网站不断维护。”李铁军说，如果网站请专业的安全团队做维护，会发现黑客入侵信息，堵截相关漏洞，否则可能被黑客盗取资料仍浑然不知。

　　此外，北京市盈科（广州）律师事务所律师贺俊说：“不管是黑客入侵还是内部泄露，网站既构成侵权，又构成违约。如果用户因为信息泄露造成损失，有权向网站索赔。”

　　>>支招

　　如何确保信息安全

　　互联网时代，普通网民应该如何保护个人信息安全？

　　反病毒工程师李铁军建议，网友应该把日常使用的网络服务分类，重要服务如邮箱等，需设置专用密码，避免黑客获得其他网站泄露的数据库入侵邮箱。

　　李铁军特别强调，网民需注重常用邮箱的账号和密码安全，一旦邮箱被入侵，黑客可以从邮件的信息中获取联系人、职业和使用者个性等信息，有可能冒用身份，发送病毒邮件和木马后门程序，实现诈骗等活动。“邮箱就像保险箱，里面有打开其他服务的全部钥匙。”

　　针对用户密码，徐湘涛给出几点提醒：

　　1.别以为你的账号不值得被利用，黑客会用程序批量扫描；

　　2.营销公司、诈骗团伙对你的信息包括社交网络关系很感兴趣；

　　3.最好是各站用户名邮箱密码均不同，至少银行、金融支付等重要密码和普通的娱乐、社交网站不同；

　　4.退而求其次的办法是，密码根据对应网站作相应变化，如密码后面加上na，百度的密码加上du。

　　据《羊城晚报》报道