安徽图书馆网上系统现漏洞 疑泄十余万读者信息

　　用户名和密码相同，随机登录几个账号，均登录成功，还能看到其他读者的个人信息……6月11日，王先生向记者举报，自己发现安徽省图书馆的网上登录系统存在巨大漏洞，十几万的用户信息暴露在公众面前。对此，安徽省图书馆办公室王姓负责人回应，这是读者在拿到读书证后，没有修改初始密码造成的。

　　读者反映： 省图登录系统暴露我信息

　　看到陈坤要演《盗墓笔记》的新闻后，王先生第一时间就想上安徽省图书馆网站网上预借《盗墓笔记》这本书。

　　“我怕看这本书的人多，就想先网上预借。”王先生表示，在进入安徽省图书馆网站后，登录时需要输入用户名和密码。

　　“用户名就是卡号，卡号和密码都是相同的。”登录时，王先生突发奇想，如果输入其他号码，会不会也能登录？

　　抱着试一试的心态，王先生输入了跟自己号码相邻的几个号码，发现全部都登录成功，登录后均可看到图书馆其他读者的个人信息。

　　“我的卡号都排到将近二十万了，如果大家的卡号相差不多，都是按照数字顺利排列的话，那岂不是至少有十几万读者的信息被暴露了？”

　　记者调查： 试了十几个号码均成功

　　6月11日中午，记者打开了安徽省图书馆官网，发现在网站首页的左上角，有“我的图书馆”登录窗口，需输入“用户名”和“密码”。

　　在王先生的指引下，记者随机输入了十几个连续的六位数字，跳入了“用户注册”页面。

　　在该页面中，记者可以看到各个读者的姓名、身份证号、文化程度等个人信息。

　　随后，记者又尝试着输入了几个五位数和四位数的号码，系统表示该证号不存在。

　　经一百多次的试验，记者发现，登录成功的六位数字读书证号中，基本上都有这样一个特征：首位数字多以1、2、3开头，前四位数字很像是年份。

　　其中，记者尝试登录的一个数字为1810**的卡号，页面居然直接跳进了用户个人的网上图书馆。在页面中，记者可以进行“借阅查询”、“借阅史查询”、“资料更新”、“修改密码”等相关操作。

　　“这是不是太危险了！？要是有不法分子利用我们的信息进行犯罪怎么办？”对省图书馆登录系统居然存在这样大的漏洞，王先生表示担忧。

　　馆方回应： 让技术部门隐去个人信息

　　目前，记者把这一情况反映给安徽省图书馆。据安徽省图书馆办公室王姓负责人介绍，安徽省图书馆确实有十几万读者，不过目前并没有接到读者关于这方面的投诉电话。

　　“目前我们图书馆的初始密码就是借书证号，用户在拿到读书证后需自己修改初始密码。”

　　针对省图书馆网上登录系统存在的漏洞，省图书馆办公室另一位工作人员介绍，“我们还是第一次发现这样的情况”。她表示，在借阅读书过程中，大部分读者使用的都是初始密码，很少有人会去主动修改初始密码。

　　该王姓负责人表示感谢读者帮助发现了这一问题，“我们将把这一情况反映给技术部门，把‘用户注册’页面的个人信息隐去。”同时他建议广大读者，在办理读书证后，主动修改初始密码，防止个人信息外露。

　　见习记者 汪维 文/图