接到莫名其妙的推銷電話,郵箱、QQ甚至網銀密碼被盜……在互聯網時代,我們的個人信息正在“裸奔”�����。
到底是誰出賣了我們的信息?
有記者聯合專業的技術公司進行了一系列實驗�����。
輸入一串亂碼���,用戶信息輕易拿到
我們每天登錄的網站�����、愛不釋手的APP,是否潛藏著信息泄露的風險?
技術員對市民常用的網站進行監測,發現某酒店官網存在安全漏洞���。
“我們不會直接入侵該酒店網站,但可以模擬該網站的漏洞環境,搭建一個類似網站,并導入海量模擬用戶信息,在這個實驗環境中看看,類似網站有沒有用戶信息泄露的風險�����?!?/p>
工程師在模擬網站中注冊了一個會員,登錄后開始尋找網站邏輯漏洞�����。找到一個可利用的漏洞后,工程師通過特殊技術構建了一個查詢對話框,在對話框中輸入了“王”字,26萬余條王姓會員信息跳了出來�����。
工程師又用弱密碼123456進行破解,當場提取了1000個王姓會員的信息,包括姓名、手機號�����、身份證號�����、積分、會員卡號。“我用的是較為常見的123456密碼,就能得到這么多人的信息�。工程師在使用更高級的攻擊及破解技術后,則獲得了該網站所有會員的數據,多達數十萬�?����!?/p>
一些購物網站也沒能幸免,工程師發現一個有安全隱患的購物網站���。按照同樣的方法,工程師搭建了個一模一樣的虛擬網站,輸入了十幾行代碼,半小時后成功獲得了該虛擬網站的管理員權限�����。“我化身成了該網站的管理員,登錄后,網上會員資料���、商品訂單、數據庫備份等資料隨便看�����?����!?/p>
在一款有漏洞的手機APP上,經過一番探查,工程師發現,這個漏洞主要存在于信息查詢功能上�。在記者的見證下,工程師在模擬的APP中輸入“張敏”,查詢出了該用戶的住址�����、電話、身份證號���。隨后,工程師又輸入了一串亂碼,APP中所有用戶的住址、電話�、身份證號都出現在了屏幕上���。
“這個亂碼就是我們分析出的程序漏洞,相當于配了一把打開別人家門的鑰匙,進去之后所有的信息就都看見了�。這種漏洞存在于具有信息查詢功能的對話框中,比如大家熟悉的快遞網站首頁,輸入運單號查詢物流信息�。如果物流網站具有這種邏輯漏洞,被黑客攻擊后,所有人的物流信息就被泄露。”該工程師說�。
測試400個網站�,60個存重大漏洞
據介紹,近日,Struts2被曝存在高危漏洞,黑客利用漏洞可以實現遠程命令執行���。該漏洞引起了業界的廣泛關注�。
什么是Struts2?“它相當于網站搭建的框架,目前廣泛應用于大型互聯網企業、政府、金融機構等網站建設,只要是用這種框架搭建的網站都有這個漏洞���。在我們監測的400個網站中,就有60個網站不幸中招了。”工程師介紹。
工程師發現�,某地政府的信息網上就存在這個漏洞,技術員利用該漏洞成功獲取了網站的最高ROOT權限�?!斑@個權限等于是開發者權限,黑客要是有了這個權限,就能為所欲為,可以更改網站的網頁數據,也可以把數據庫全都下載下來。”
高校網站呢�����?工程師進行了一次安全測試,對243所高校官網進行數據采集,從業務安全、隱私安全、應用安全�����、主機安全�、網絡安全等五個維度進行綜合打分。其中,80所高校評價為“良好”,103所評價為“一般”,60所評價為“較差”。
“可以直觀地理解為,一般和較差的網站都是存在漏洞的,給了黑客可乘之機�����?!惫こ處熣f道。
在對醫療網站的分析中,68個網站中,56個評價為“良好”,8個評價為“一般”,4個評價為“較差”。
“在實際的攻擊中,黑客在一個網站獲取個人密碼后,還可以拿密碼等個人信息到其他網站中‘撞庫’分析,通過多家網站中的信息獲取,經過關聯�、對比后,能將個人信息進行更為詳細的還原?��!卑苍瓶萍冀榻B。
七成信息泄露,來自黑客攻擊
近日,360互聯網安全中心發布《2016年中國網站安全漏洞形勢分析報告》�����。報告顯示,在2016年,360網站安全檢測平臺共掃描各類網站197.9萬個,發現存在漏洞的網站91.7萬個,占比為46.3%,比2015年略有下降���。
雖然漏洞網站數量下降,但高危漏洞數量大幅增長,這說明,極少數網站集中出現大量高危漏洞�。網站高危漏洞激增,導致大量信息被泄露。
上游黑客獲取信息,下游信息販子轉手買賣,個人信息販賣已經形成了產業鏈,類似交易每天都在發生���。騰訊公司首席執行官馬化騰援引公安部門數據稱,當前我國網絡非法從業人員已超過150萬,黑產市場規模已達到千億元級別。
山東省信息網絡安全協會專家張朝倫介紹,網絡信息泄露無外乎兩個原因,一是外部攻擊,二是內部竊取���。“從信息泄露事件的概率來看,外部攻擊要占到七成�。對外部攻擊者來說,其最主要的手段就是尋找并利用信息系統的漏洞�����。”
“知名的互聯網公司技術團隊龐大�、技術水平較高,在個人信息保護上做得較好�����。有一些企業網站,因為自身數據管理意識薄弱、數據庫安全防范技術水平較差,很容易泄露信息�?��!睆埑瘋愓f���。
張朝倫認為,相關監管部門需要盡快規范企業網站的開發安全標準,并加大安全技術人員的培訓力度�?��!皣倚枰贫ㄒ粋€統一的標準,不達標的網站不能運行,并對照標準進行監測���、整改?��,F在專業的安全開發人員很緊缺,需要加快相關專業的設置和人才培養�?��!?/p>
福建新聞頻道 精彩導讀
戳一下�����,就能查看哦??
| 來源:中國新聞網�����、齊魯晚報(ID:)
