29日上午,网友在微博揭露广东省公安厅出入境政务服务网网站后台存在漏洞。获得漏洞地址的人士可以访问2011年6月24日至当天所有网上申请者提交的信息,共计444万余条。
广东省公安厅承认,该网站确实存在技术漏洞,现已修补完毕。
>>事件 问题一个月前已暴露 29日早上,知名IT人士“@月光博客”发布微博:“广东省公安厅出入境政务服务网网上申请数据泄露,几乎全部提交网上申请用户的真实姓名、护照号码、港澳通行证号码遭到泄密。”并提供了相关信息的模糊截图。
记者登录漏洞地址看到,该网页显示的是网上申请数据的列表。根据泄露网页首页和末页的数据,此次泄露的信息范围是2011年6月24日至12月29日12时30分以前所有通过网站申请签注的用户资料,总数达4441387条。
最新信息是29日12时30分李某的申请记录。点击每条记录,都可看到用户的出生年月、邮寄地址、邮编、电话、证件有效期、出境事由等信息。记者在该网页搜索栏内输入自己的通行证号码,发现自己下半年3次申请港澳签注的记录和相关的个人信息。
据了解,相关漏洞由网名为“刺刺”的程序员发现,11月29日“刺刺”将漏洞信息提供给“乌云(WooYun)”平台,12月29日早上“乌云”将漏洞信息交由IT人士“@月光博客”发布。“乌云”平台负责人说,11月29日收到漏洞信息后,他们已交给相关部门处理,因为处理漏洞需要时间,所以他们在一个月后才公布漏洞。
政府网泄信息危害大 “@月光博客”分析,此次漏洞估计是程序设置问题,查看后台信息功能的权限控制错误,导致普通用户可以绕过登录环节,直接访问后台页面查看数据。
资深程序员、某电子商务网站创始人徐湘涛说,涉及后台数据时,每个网站的管理人员会根据职责得到不同信息权限。在用户数据页面展现前,应该有校验身份的过程,相关人员通过校验后才能访问后台信息。“在外网输入网址就能查看后台数据,对程序员来说这是一个挺低级的错误。”
就近日一连串泄密事件,“@月光博客”说:相当于实名制网站的电子商务平台泄露数据很恐怖,用户没有应对措施,去电商网站购买商品,不可能留假名、假地址、假手机号码。而政府类服务网站泄露信息危害更大,很多不上网的用户资料信息也遭到泄露,比商业网站出问题可怕百倍。
>>处置 技术漏洞已修补完毕 29日12时,证实漏洞存在后,记者向广东省公安厅反映。当天13时30分后,相关网页无法访问,显示“内部服务器故障”。
当天21时许,广东省公安厅通过官方微博“@平安南粤”回应称:“网上有消息称,广东省公安厅出入境政务服务网存在技术漏洞问题。广东省公安厅迅速成立专责小组对该情况进行核查。经初步调查,该网站确实存在技术漏洞,现已修补完毕。”回应还称,是否造成信息泄露仍在调查,“就比如门被打开了,东西是否被偷走,还不得而知”。
截至29日晚,此前泄露出的后台网页,外网已无法访问。
>>调查 网站泄密并非近期才密集发生 连日来的“泄密”风波引起人们对网络上个人信息安全的担忧。徐湘涛认为,明文保存密码是多个商业网站用户信息被泄露的关键。此外,国内不少网站包括政务网站,系统架构水平较低,网站开发和管理人员的安全意识比较差。
对于网站“泄密”一事,徐湘涛说,这些事情一直都在发生,不是在近期密集发生,而是密集被公开。金山反病毒工程师李铁军也说,从各个网站被泄露的用户数据来看,这些数据被泄露已有几个月甚至几年时间,并非近期窃取的数据。
“泄密问题出在服务端,用户完全不可控,装在客户端的杀毒软件也无法防止。软件的漏洞总是不断地被发现,只能靠网站不断维护。”李铁军说,如果网站请专业的安全团队做维护,会发现黑客入侵信息,堵截相关漏洞,否则可能被黑客盗取资料仍浑然不知。
此外,北京市盈科(广州)律师事务所律师贺俊说:“不管是黑客入侵还是内部泄露,网站既构成侵权,又构成违约。如果用户因为信息泄露造成损失,有权向网站索赔。”
>>支招 如何确保信息安全 互联网时代,普通网民应该如何保护个人信息安全?
反病毒工程师李铁军建议,网友应该把日常使用的网络服务分类,重要服务如邮箱等,需设置专用密码,避免黑客获得其他网站泄露的数据库入侵邮箱。
李铁军特别强调,网民需注重常用邮箱的账号和密码安全,一旦邮箱被入侵,黑客可以从邮件的信息中获取联系人、职业和使用者个性等信息,有可能冒用身份,发送病毒邮件和木马后门程序,实现诈骗等活动。“邮箱就像保险箱,里面有打开其他服务的全部钥匙。”
针对用户密码,徐湘涛给出几点提醒: 1.别以为你的账号不值得被利用,黑客会用程序批量扫描;
2.营销公司、诈骗团伙对你的信息包括社交网络关系很感兴趣;
3.最好是各站用户名邮箱密码均不同,至少银行、金融支付等重要密码和普通的娱乐、社交网站不同;
4.退而求其次的办法是,密码根据对应网站作相应变化,如密码后面加上na,百度的密码加上du。
据《羊城晚报》报道