企业网站频现安全漏洞 信息泄露何时休

  个人信息的泄露在当下已经成为一种常态,严重威胁到社会秩序和公众利益。近日,央视《每周质量生活》报道,由于存在安全漏洞,快递公司官网遭不法分子侵入,20秒即被窃取信息,用户信息犹如“裸奔”。事实上,关于企业信息安全泄露的事件屡见报端。2014年7月,第三方漏洞报告平台“乌云”再次曝出铁路12306手机购票软件存在漏洞,黄牛利用该漏洞甚至一个人就可以将全车厢的票买下来;同年3月,携程网安全支付日志可被下载,大量用户银行卡信息被泄露……信息安全的严峻形势已不容忽视,需要产业链的各方通力合作,共同治理防范。

  快递行业信息遭“裸奔”

  互联网时代的到来,给我们的生活带来了翻天覆地的变化,但其双刃剑效应也逐渐凸显,网络信息安全隐患悄然渗入。

  央视《每周质量报告》近日报道,今年3月份,杭州市一快递公司的负责人发现有人在网上公开买卖他们公司快递单上的用户信息。随后经警方调查发现,是一名在校学生在做网络安全测试时发现快递公司或者是其他公司的一些安全漏洞,从中提取个人信息并进行了网络售卖。据了解,有些快递公司网站的数据库存在一些比较低级的漏洞,比如弱口令漏洞、上传漏洞等等,犯罪嫌疑人成功通过漏洞进入网站后台后,可以通过上传后门文件,获取到数据库的访问权限,并获取网站有效信息。截至案发,犯罪嫌疑人共获取了1400万条个人信息,仅售卖1000余元。

  无独有偶,铁路12306手机APP最新曝光一个安全漏洞,可被“黄牛”利用大量刷票。专业人士表示,这个漏洞属于手机端so库算法泄露漏洞,该算法泄露后,黄牛党可以利用电脑来模拟多部手机多帐号进行购票操作,甚至于一个人就可以无限制买一车厢的票。

  事实上,企业官网安全漏洞频发,已被不良分子利用,成为窃取用户个人信息的主要渠道。该现象猖獗,令人震惊。根据360网站安全检测平台发布的《2014上半年中国网站安全简报》显示,今年上半年国内共发现705万个网站漏洞!网站有漏洞,意味着黑客可以轻易入侵网站后台,服务器权限,下载窃取网站数据库,导致用户在这些网站留存的个人信息惨遭泄露。而一旦用户个人信息被泄露,轻则给用户或其家人朋友带来不必要的麻烦,遭受到无休止的电话骚扰;重则使用户遭受严重的经济损失。

  内部监管不善是信息泄露主因

  美国最大的无线通信提供商Verizon近期发布了《2013年数据泄露事故调查报告(DBIR)》,报告显示:几乎70%的数据泄露事故都是由第三方检测出的,而这恰恰反映了许多企业长期疏忽数据泄露检测的真实现象。

  以快递公司为例,官网上的用户信息容易遭窃取,主要是快递公司疏于对网站的管理。奇虎360网站安全总监赵武曾表示,快递行业数据安全防护水平普遍较差,体现在网站漏洞多、修复不及时、运维人员安全意识薄弱(使用弱口令)等方面。而造成这种问题的主要原因是,大多数快递公司缺乏信息安全意识,没有预留足够的资金组建运营网络安全团队,缺乏“防火墙”的系统,黑客可以来去自如。

  除了落后的安全技术配置,不规范的内部管理制度,使得快递行业成为近几年用户信息泄露的重灾区。在快递公司,快递单作为快递信息的载体,一般至少有四联:发货人联、收货人联、结账联、签收联。据了解,订单配送完返回的面单(显示用户信息)会在营业点内保留一年,以备客户查询,然后由总公司回收,并在监管部门监督下统一销毁。不过,一些营业网点对信息保护的不重视,将旧面单随意丢弃或倒卖。另外,快递业务链条很长,从电商平台、卖家、快递公司,以及收派货环节,参与者众多,每个环节都有泄露用户信息的可能。

  此外,法律不健全也是造成行业用户信息泄露的主要原因。今年4月国家邮政局发布的《寄递服务用户个人信息安全管理规定》寄递企业及其从业人员违法提供寄递用户信息,尚未构成犯罪的,依照《邮政法》第七十六条规定予以1万元以上5万元以下的罚款,并对快递企业直接负责的主管人员和责任人员给予处分;构成犯罪的,移送司法机关追究刑事责任。违法成本低也让许多快递从业人员无所畏惧。

  保障信息安全迫在眉睫

  快递信息泄露、12306网站漏洞折射了信息安全面临的严峻威胁。而且信息安全再也不是某个行业所面临的问题,已经辐射到整个互联网领域。因此,信息安全的保障已迫在眉睫。

  首先,法律要加大对信息安全的保障力度。虽然我国刑法在2009年将非法买卖和获取个人信息列为刑事犯罪的新类型,并制定了相应的惩处标准。但与非法买卖个人信息的严重程度相比,我国大多数地区还没有对此类案件的立案标准,执法和处罚的力度远远不够。另外,法律法规的制定部门也要针对特定行业,建立健全的用户信息安全保障制度。

  其次,针对行业网站面临的安全问题,业内人士建议,企业官网要加强制度技术的升级,网站负责人定期对网站进行安全检测,及时发现并修复网站漏洞隐患,有效防范黑客入侵和DDoS等攻击。企业官网要加强制度技术的升级。真正打击网络安全行为,企业就必须从制度和技术两方面入手,多方联合,齐抓共管。

  最后,企业要加强自律行为,重视用户的信息安全。譬如,快递公司的数据库一定要做好定期检查并做好数据销毁,同时快递企业严格控制负责维护客户信息数据库的技术人员的管理权限,尽可能减少信息泄露的途径,将用户的信息保护落到实处。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:专家透过发现联网设备安全漏洞寻找防护之道