用户名和密码相同,随机登录几个账号,均登录成功,还能看到其他读者的个人信息……6月11日,王先生向记者举报,自己发现安徽省图书馆的网上登录系统存在巨大漏洞,十几万的用户信息暴露在公众面前。对此,安徽省图书馆办公室王姓负责人回应,这是读者在拿到读书证后,没有修改初始密码造成的。
读者反映: 省图登录系统暴露我信息
看到陈坤要演《盗墓笔记》的新闻后,王先生第一时间就想上安徽省图书馆网站网上预借《盗墓笔记》这本书。
“我怕看这本书的人多,就想先网上预借。”王先生表示,在进入安徽省图书馆网站后,登录时需要输入用户名和密码。
“用户名就是卡号,卡号和密码都是相同的。”登录时,王先生突发奇想,如果输入其他号码,会不会也能登录?
抱着试一试的心态,王先生输入了跟自己号码相邻的几个号码,发现全部都登录成功,登录后均可看到图书馆其他读者的个人信息。
“我的卡号都排到将近二十万了,如果大家的卡号相差不多,都是按照数字顺利排列的话,那岂不是至少有十几万读者的信息被暴露了?”
记者调查: 试了十几个号码均成功
6月11日中午,记者打开了安徽省图书馆官网,发现在网站首页的左上角,有“我的图书馆”登录窗口,需输入“用户名”和“密码”。
在王先生的指引下,记者随机输入了十几个连续的六位数字,跳入了“用户注册”页面。
在该页面中,记者可以看到各个读者的姓名、身份证号、文化程度等个人信息。
随后,记者又尝试着输入了几个五位数和四位数的号码,系统表示该证号不存在。
经一百多次的试验,记者发现,登录成功的六位数字读书证号中,基本上都有这样一个特征:首位数字多以1、2、3开头,前四位数字很像是年份。
其中,记者尝试登录的一个数字为1810**的卡号,页面居然直接跳进了用户个人的网上图书馆。在页面中,记者可以进行“借阅查询”、“借阅史查询”、“资料更新”、“修改密码”等相关操作。
“这是不是太危险了!?要是有不法分子利用我们的信息进行犯罪怎么办?”对省图书馆登录系统居然存在这样大的漏洞,王先生表示担忧。
馆方回应: 让技术部门隐去个人信息
目前,记者把这一情况反映给安徽省图书馆。据安徽省图书馆办公室王姓负责人介绍,安徽省图书馆确实有十几万读者,不过目前并没有接到读者关于这方面的投诉电话。
“目前我们图书馆的初始密码就是借书证号,用户在拿到读书证后需自己修改初始密码。”
针对省图书馆网上登录系统存在的漏洞,省图书馆办公室另一位工作人员介绍,“我们还是第一次发现这样的情况”。她表示,在借阅读书过程中,大部分读者使用的都是初始密码,很少有人会去主动修改初始密码。
该王姓负责人表示感谢读者帮助发现了这一问题,“我们将把这一情况反映给技术部门,把‘用户注册’页面的个人信息隐去。”同时他建议广大读者,在办理读书证后,主动修改初始密码,防止个人信息外露。
见习记者 汪维 文/图
我来说两句排行榜