盘点近年中国互联⽹泄密典型事件
题记:3⽉22⽇,国内知名漏洞报告平台乌云⽹公布了“携程安全⽀付⽇历导致⽤户银⾏卡信息泄露”的相关信息。漏洞发现者指出,携程将⽤于处理⽤户⽀付的服务接⼝开启了调试功能,使所有向银⾏验证持卡所有者接⼝传输的数据包均直接保存在本地服务器。⽽该信息加密级别并不够⾼,可以被骇客轻易获取。泄露的信息包括⽤户的:持卡⼈姓名、⾝份证、所持银⾏卡类别、卡号、CVV码以及⽤于⽀付的6位密码。 此消息⼀出,⽴刻引起了⼈们对互联⽹信息安全的担忧。微博上有专业⼈⼠陆续开始爆料称,⼀场互联⽹安全的飓风正在袭来。
事实上,近年来中国互联⽹业内的安全问题备受诟病,泄密门事件年年有,年年新,下⾯我们就为⼤家盘点⼀下中国互联⽹的众多“泄密门”……
携程曝安全⽀付漏洞⽤户信⽤卡遭泄密
2014年3⽉22⽇,国内知名漏洞报告平台乌云⽹公布了“携程安全⽀付⽇历导致⽤户银⾏卡信息泄露”的相关信息。漏洞发现者指出,携程将⽤于处理⽤户⽀付的服务接⼝开启了调试功能,使所有向银⾏验证持卡所有者接⼝传输的数据包均直接保存在本地服务器。⽽该信息加密级别并不够⾼,可以被骇客轻易获取。
泄露的信息包括⽤户的:持卡⼈姓名、⾝份证、所持银⾏卡类别(⽐如,招商银⾏信⽤卡、中国银⾏信⽤卡)、卡号、CVV码(信⽤卡背后的⼀组数字)以及⽤于⽀付的6位密码。
⼏个⼩时之后,携程⽹发表了⾮常官⽅的回复,携程技术⼈员已经确认该漏洞并在两⼩时内及时修复,对于乌云平台发现的漏洞信息表⽰感谢。该漏洞受影响的⽤户为近期的部分交易客户,⽬前并没有⽤户受到该漏洞的影响⽽造成相应财产损失的情况发现。携程旅⾏⽹始终对信息安全⾮常重视,对于此次漏洞事件如果有新的进展将持续通报。
这样官⽅的说辞引起了更多的恐慌。“泄密门”经过传播已经被⼤多数⼈解读为,只要在携程⽤信⽤卡消费过的⽤户,都有可能⾯临这样的风险。次⽇,与携程有合作的⼏⼤银⾏卡通通被打爆,很多⽤户要求换卡。
招商银⾏信⽤卡的客服是这样解释的,只有在21、22号期间发⽣购买⾏为的⽤户才有可能有风险,其他⽤户没有风险。3⽉23⽇,携程给出更为详细的解释,“携程的技术开发⼈员为了排查系统疑问在线上环境开启了⽀付调试功能,留下了
临时⽇志,因疏忽未能及时删除,⽬前,这些信息已经删除。经过排查,仅漏洞发展者做了测试下载,共涉及93名存在风险的的携程⽤户。没有接到携程电话通知的⽤户,个⼈信息是安全的。”
⼀位安全领域专业⼈⼠表⽰,携程⽹本次泄密事件的严重程度远远超过CSDN泄密事件。CSDN是数据库数据泄漏,⽽这次是⽇志数据泄漏,更严重的是,⽇志数据⾥记录跟钱相关的详细数据。
u型卡环
2CSDN遭攻击,中国⼈寿80万信息泄露,棱镜门事件回顶部
CSDN遭⿊客攻击互联⽹频发密码外泄事件
2011年12⽉,CSDN的安全系统遭到⿊客攻击,600万⽤户的登录名、密码及邮箱遭到泄漏。随后,CSDN“密码外泄门”持续发酵,随后,多玩游戏、⼈⼈⽹、178、嘟嘟⽜、开⼼⽹、天涯社区、世纪佳缘、百合⽹等⽹站的“密码集”也先后出现在⽹络上。
碎片文件天涯⽹于12⽉25⽇发布致歉信,称天涯4000万⽤户隐私遭到⿊客泄露。最早牵涉这⼀事件的CSDN已经报案,称现有的2000万注册⽤户的账号密码数据库已经全部采取了密⽂保护和备份。
⽬前可查的关于这⼀事件的最早披露者是来⾃于乌云安全问题反馈平台,继CSDN、天涯社区⽤户数据泄露后,⽀付宝⽤户⼤量泄露,被⽤于⽹络营销,泄露总量达1500万~2500万之多,泄露时间不明,⾥⾯只有⽀付⽤户的账号,没有密码。已经被卷⼊的企业还有京东商城和当当⽹等。2011年的众多密码外泄事件,让⽹民对⾃⼰账号、密码等互联⽹信息被盗取的普遍担忧。⽹民在密码外泄后纷纷开始修改密码,但⽤户修改密码只是“治标”,⽹站改变数据存放策略才
是“治本”。
硫铁矿制硫酸
中国⼈寿80万份意外险保单信息遭泄露
2013年2⽉26⽇,⼀位⽹友在⽹络社区发帖称,在中国⼈寿注册汽车救援卡时,发现中国⼈寿的合作⽹站“众宜风险管理”搜索信息栏中可以随意查出所有投保⼈的信息,包括险种、⼿机号、⾝份证号、密码等。随后有热⼼⽹友根据帖⼦中提供的⽹址查询,发现总共有792270条投保⼈信息。
据称,出现信息泄露问题系由合作公司⽹站升级操作失误所致。事件发⽣后,虽然中国⼈寿和成都众宜康健科技有限公司均向公众致歉,但由于售卖个⼈信息的灰⾊市场的存在,诸多投保⼈仍对个⼈信息安全有所担忧。
在业内看来,虽然如今个⼈信息泄露事件屡见不鲜,但该事件也给保险⾏业敲响信息安全的警钟。
“棱镜门”事件:美国政府窥探着全世界
2013年6⽉,美国中情局前职员爱德华·斯诺登爆料“美国棱镜窃听计划”。“棱镜”计划开始于2007年的⼩布什时期,美国情报机构⼀直在九家美国互联⽹公司中进⾏数据挖掘⼯作,从⾳视频、图⽚、邮件、⽂档以及连接信息中分析个⼈的联系⽅式与⾏动。监控的类型有10类:信息电邮、即时消息、视频、照⽚、存储数据、语⾳聊天、⽂件传输、视频会议、登录时间、社交⽹络资料的细节,其中包括
两个秘密监视项⽬:⼀、监视、监听民众电话的通话记录;⼆、监视民众的⽹络活动。
在斯诺登的爆料⾥,⾕歌、雅虎、微软、苹果、Facebook、美国在线、PalTalk、Skype、YouTube等九⼤公司遭到参与间谍⾏为的指控,这些公司涉嫌向美国国家安全局开放其服务器,使政府能轻⽽易举地监控全球上百万⽹民的邮件、即时通话及存取的数据。虽然这些企业极⼒否认这⼀罪名。但到了6⽉14⽇,Facebook、微软两公司⾸次承认,美国政府确曾向它们索要⽤户数据,并公布了部分资料数据内容,以期尽早摆脱“棱镜门”泥淖。
“棱镜泄密门事件”⼀时在世界范围内爆炸开来,引起了世界范围的⼴泛关注。作为事件的主⾓,美国中央情报局前雇员爱德华·斯诺登不但让美国政府坐⽴不安,他所透露出的很多信息同样让我国⽹络信息产业担忧。据斯诺登称,借助棱镜项⽬,美国国家安全局⼀直通过路由器等设备监控中国⽹络和电脑,因此国⼈在互联⽹上的隐私,包括我们的政府和⾼官们的隐私,都在⽹络上暴露⽆遗……
搜狗⼿机输⼊法泄露⽤户隐私
2013年6⽉5⽇,据互联⽹漏洞报告平台乌云发布的漏洞报告中披露,搜狗输⼊法⽬前出现漏洞导致⼤量⽤户敏感信息泄露。报告中称,搜狗输⼊法信息发送过程存储了相对应的信息在云端,但由于相应配置及其他原因造成会话信息图⽚、视频、⾳频泄露。其中很多⾝份证、裸照、还有。
依据搜狗输⼊法⽅⾯的介绍,⽹友在互联⽹上贴出包括语⾳、照⽚、证件信息在内的⼤量被曝光的隐私内容,均来源于⼿机“搜狗输⼊法”的“超级短信”功能。其具体泄露⽅式是:⽹民在客户端安装搜狗输⼊法“超级短信”功能,然后发送⾳频、照⽚。⽤户发送的这些⾳频、照⽚、⽂档等多媒体信息内容会被放在“云端”。如果接收⽅没有安装该产品,会收到⼀个链接,点击后就可打开信息内容。最后这些⽤户信息被微软旗下的搜索引擎“必应”抓取,从⽽被曝光到⽹上。
安全专家建议,⽤户不应盲⽬信任“⼤公司、⼤⽹站”,在⽹上注册的时候应尽可能少的透露⾃⼰的个⼈资料,如⾮必要,不要泄露电话、家庭住址、银⾏卡号、QQ密码等私⼈信息。
3酒店泄露,圆通百万信息泄露,12306漏洞回顶部
如家、七天等连锁酒店泄露
网络游戏防沉迷系统2013年10⽉,如家、七天等连锁酒店被⽹曝有多达2000万条客户遭泄露。据报道,⼀个名为“查开房”的⽹址。只需输⼊姓名或⾝份证号,即可查询到包括⾝份证号、⽣⽇、地址、⼿机号、邮箱、公司、登记⽇期等真实信息。
事发⼀周前,多家酒店被⽆线上⽹认证管理系统供应商--浙江慧达驿站⽹络有限公司存储,并因系统有漏洞⽽存在泄露隐患。慧达驿站公司确认曾存在漏洞并已修复,并称未造成等住客个⼈信息泄露。
连锁酒店的信息系统存在漏洞,近⽇致使⼤量公民个⼈信息可被任意查询。事实上,公民信息遭如此⼤规模泄露并⾮⾸次。有资料显⽰,⾃2009年以来,重⼤公众信息泄露事件频繁发⽣,涉及医疗、保险、房产、招聘、社交、购物、第三⽅⽀付等领域,⽹上⾮法交易个⼈信息已经形成了⼀条⿊⾊产业链。
快递信息泄露圆通百万客户信息⽹上售卖
2013年10⽉22⽇圆通速递被曝其近百万条快递单个⼈信息不仅可在⽹络上购买到,单号数据信息还能24⼩时刷新。
有媒体报道称,在淘宝搜索栏输⼊“单号”⼀词,2900多件宝贝就会跳出。这些店铺⼤多冠以“物流服务”、“物流单号查询”、“全国可双向查询服务”等名称。该报记者连续点击多家店铺的具体商品介绍发现,基本都只出售“圆通快递数据”。快递单信息⼀般1元/条,量⼤的话0.8元/条,需求量极⼤0.3元/条。
近两年,快递单上的个⼈信息泄露事件频频发⽣,涉及的快递公司包括申通、圆通、中通、韵达等多家公司。⽹民们的⽹络⾏为⼏乎处在“裸奔”的状态,如何让⼈们的⽹络信息受到保护已经成了互联⽹安全最重要的问题。
12306新版上线就曝漏洞ttbn
弹簧绳12306⽹站⼀直是备受⽹络安全的诟病。2013年12⽉,春运期间新版中国铁路客户服务中⼼12306⽹站两天前正式上线试运⾏。就在上线第⼀天,就有专业安全⼈⼠发现12306新版⽹站存在漏洞。
漏洞发现者指出,12306⽹站漏洞泄露⽤户信息,可查询登录名、邮箱、姓名、⾝份证以及电话等隐私信息。另⼀个漏洞的发现者也曝出“新版12306⽹站存在多个订票逻辑漏洞”,该漏洞可能导致后期订票软件泛滥,造成订票不公。
后记:
截⽌发稿,携程最新的回应称,已修复该漏洞,经排查93名⽤户的⽀付信息存在潜在风险,已通知这些⽤户更换信⽤卡。经核实,⽬前没有出现⽤户信⽤卡被盗刷的情况。携程承诺,未来如果因安全漏洞引起⽤户损失,携程将承担全部责任并给予赔付。
虽然携程态度积极,但是我们看到从2011年CSDN的漏洞事件开始,每年互联⽹的泄露事件层出不穷,但是互联⽹企业并没有从别⼈的事故中吸取教训,仍然在信息安全上犯⼀些低级错误。
今天移动互联⽹快速发展,⼀部⼩⼩的⼿机承载着我们的家庭照⽚、朋友圈、位置追踪、⼯作单位、信⽤卡密码、⽀付信息等等,这让国⼈更加担⼼⽹络安全的隐患问题。痛定思痛,请问,未来我们要如何⾯对我们的隐私?
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议