题记:3月22日,国内知名漏洞报告平台乌云网公布了“携程安全支付日历导致用户银行卡信息泄露”的相关信息。漏洞发现者指出,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。而该信息加密级别并不够高,可以被骇客轻易获取。泄露的信息包括用户的:持卡人姓名、身份证、所持银行卡类别、卡号、CVV码以及用于支付的6位密码。
此消息一出,立刻引起了人们对互联网信息安全的担忧。微博上有专业人士陆续开始爆料称,一场互联网安全的飓风正在袭来。
事实上,近年来中国互联网业内的安全问题备受诟病,泄密门事件年年有,年年新,下面我们就为大家盘点一下中国互联网的众多“泄密门”……
携程曝安全支付漏洞 用户信用卡遭泄密
2014年3月22日,国内知名漏洞报告平台乌云网公布了“携程安全支付日历导致用户银行卡信息泄露”的相关信息。漏洞发现者指出,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。而该信息加密级别并不够高,可以被骇客轻易获取。
泄露的信息包括用户的:持卡人姓名、身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、卡号、CVV码(信用卡背后的一组数字)以及用于支付的6位密码。
几个小时之后,携程网发表了非常官方的回复,携程技术人员已经确认该漏洞并在两小时内及时修复,对于乌云平台发现的漏洞信息表示感谢。该漏洞受影响的用户为近期的部分交易客户,目前并没有用户受到该漏洞的影响而造成相应财产损失的情况发现。携程旅行网始终对信息安全非常重视,对于此次漏洞事件如果有新的进展将持续通报。
这样官方的说辞引起了更多的恐慌。“泄密门”经过传播已经被大多数人解读为,只要在携程用信用卡消费过的用户,都有可能面临这样的风险。次日,与携程有合作的几大银行卡客服电话通通被打爆,很多用户要求换卡。
招商银行信用卡的客服是这样解释的,只有在21、22号期间发生购买行为的用户才有可能有风险,其他用户没有风险。
3月23日,携程给出更为详细的解释,“携程的技术开发人员为了排查系统疑问在线上环境开启了支付调试功能,留下了临时日志,因疏忽未能及时删除,目前,这些信息已经删除。经过排查,仅漏洞发展者做了测试下载,共涉及93名存在风险的的携程用户。没有接到携程电话通知的用户,个人信息是安全的。”
一位安全领域专业人士表示,携程网本次泄密事件的严重程度远远超过CSDN泄密事件。CSDN是数据库数据泄漏,而这次是日志数据泄漏,更严重的是,日志数据里记录跟钱相关的详细数据。
2CSDN遭攻击,中国人寿80万信息泄露,棱镜门事件回顶部
CSDN遭黑客攻击 互联网频发密码外泄事件
2011年12月,CSDN的安全系统遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄漏。随后,CSDN“密码外泄门”持续发酵,随后,多玩游戏、人人网、178、嘟嘟牛、开心网、天涯社区、世纪佳缘、百合网等网站的“密码集”也先后出现在网络上。
天涯网于12月25日发布致歉信,称天涯4000万用户隐私遭到黑客泄露。最早牵涉这一事件的CSDN已经报案,称现有的2000万注册用户的账号密码数据库已经全部采取了密文保护和备份。
目前可查的关于这一事件的最早披露者是来自于乌云安全问题反馈平台,继CSDN、天涯社区用户数据泄露后,支付宝用户大量泄露,被用于网络营销,泄露总量达1500万~2500万之多,泄露时间不明,里面只有支付用户的账号,没有密码。已经被卷入的企业还有京东商城和当当网等。2011年的众多密码外泄事件,让网民对自己账号、密码等互联网信息被盗取的普遍担忧。网民在密码外泄后纷纷开始修改密码,但用户修改密码只是“治标”,网站改变数据存放策略才是“治本”。
中国人寿80万份意外险保单信息遭泄露
2013年2月26日,一位网友在网络社区发帖称,在中国人寿注册汽车救援卡时,发现中国人寿的合作网站“众宜风险管理”搜索信息栏中可以随意查找出所有投保人的信息,包括险种、手机号、身份证号、密码等。随后有热心网友根据帖子中提供的网址查询,发现总共有792270条投保人信息。
据称,出现信息泄露问题系由合作公司网站升级操作失误所致。事件发生后,虽然中国人寿和成都众宜康健科技有限公司均向公众致歉,但由于售卖个人信息的灰色市场的存在,诸多投保人仍对个人信息安全有所担忧。
在业内看来,虽然如今个人信息泄露事件屡见不鲜,但该事件也给保险行业敲响信息安全的警钟。
“棱镜门”事件:美国政府窥探着全世界
2013年6月,美国中情局前职员爱德华·斯诺登爆料“美国棱镜窃听计划”。“棱镜”计划开始于2007年的小布什时期,美国情报机构一直在九家美国互联网公司中进行数据挖掘工作,从音视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料的细节,其中包括两个秘密监视项目:一、监视、监听民众电话的通话记录;二、监视民众的网络活动。
在斯诺登的爆料里,谷歌、雅虎、微软、苹果、Facebook、美国在线、PalTalk、Skype、YouTube等九大公司遭到参与间谍行为的指控,这些公司涉嫌向美国国家安全局开放其服务器,使政府能轻而易举地监控全球上百万网民的邮件、即时通话及存取的数据。虽然这些企业极力否认这一罪名。但到了6月14日,Facebook、微软两公司首次承认,美国政府确曾向它们索要用户数据,并公布了部分资料数据内容,以期尽早摆脱“棱镜门”泥淖。
“棱镜泄密门事件”一时在世界范围内爆炸开来,引起了世界范围的广泛关注。作为事件的主角,美国中央情报局前雇员爱德华·斯诺登不但让美国政府坐立不安,他所透露出的很多信息同样让我国网络信息产业担忧。据斯诺登称,借助棱镜项目,美国国家安全局一直通过路由器等设备监控中国网络和电脑,因此国人在互联网上的隐私,包括我们的政府和高官们的隐私,都在网络上暴露无遗……
搜狗手机输入法 泄露用户隐私
2013年6月5日,据互联网漏洞报告平台乌云发布的漏洞报告中披露,搜狗输入法目前出现漏洞导致大量用户敏感信息泄露。报告中称,搜狗输入法信息发送过程存储了相对应的信息在云端,但由于相应配置及其他原因造成会话信息图片、视频、音频泄露。其中很多身份证、裸照、还有检举信。
依据搜狗输入法方面的介绍,网友在互联网上贴出包括语音、照片、证件信息在内的大量被曝光的隐私内容,均来源于手机“搜狗输入法”的“超级短信”功能。其具体泄露方式是:网民在客户端安装搜狗输入法“超级短信”功能,然后发送音频、照片。用户发送的这些音频、照片、文档等多媒体信息内容会被放在“云端”。如果接收方没有安装该产品,会收到一个链接,点击后就可打开信息内容。最后这些用户信息被微软旗下的搜索引擎“必应”抓取,从而被曝光到网上。
安全专家建议,用户不应盲目信任“大公司、大网站”,在网上注册的时候应尽可能少的透露自己的个人资料,如非必要,不要泄露电话、家庭住址、银行卡号、QQ密码等私人信息。
3酒店开房信息泄露,圆通百万信息泄露,12306漏洞回顶部
如家、七天等连锁酒店开房信息泄露
2013年10月,如家、七天等连锁酒店被网曝有多达2000万条客户开房信息遭泄露。据报道,一个名为“查开房”的网址。只需输入姓名或身份证号,即可查询到包括身份证号、生日、地址、手机号、邮箱、公司、登记日期等真实信息。
事发一周前,多家酒店开房记录被无线上网认证管理系统供应商--浙江慧达驿站网络有限公司存储,并因系统有漏洞而存在泄露隐患。慧达驿站公司确认曾存在漏洞并已修复,并称未造成开房记录等住客个人信息泄露。
连锁酒店的信息系统存在漏洞,近日致使大量公民个人信息可被任意查询。事实上,公民信息遭如此大规模泄露并非首次。有资料显示,自2009年以来,重大公众信息泄露事件频繁发生,涉及医疗、保险、房产、招聘、社交、购物、第三方支付等领域,网上非法交易个人信息已经形成了一条黑色产业链。
快递信息泄露 圆通百万客户信息网上售卖
2013年10月22日圆通速递被曝其近百万条快递单个人信息不仅可在网络上购买到,单号数据信息还能24小时刷新。
有媒体报道称,在淘宝搜索栏输入“单号”一词,2900多件宝贝就会跳出。这些店铺大多冠以“物流服务”、“物流单号查询”、“全国可双向查询服务”等名称。该报记者连续点击多家店铺的具体商品介绍发现,基本都只出售“圆通快递数据”。快递单信息一般1元/条,量大的话0.8元/条,需求量极大0.3元/条。
近两年,快递单上的个人信息泄露事件频频发生,涉及的快递公司包括申通、圆通、中通、韵达等多家公司。网民们的网络行为几乎处在“裸奔”的状态,如何让人们的网络信息受到保护已经成了互联网安全最重要的问题。
12306新版上线就曝漏洞
12306网站一直是备受网络安全的诟病。2013年12月,春运期间新版中国铁路客户服务中心12306网站两天前正式上线试运行。就在上线第一天,就有专业安全人士发现12306新版网站存在漏洞。
漏洞发现者指出,12306网站漏洞泄露用户信息,可查询登录名、邮箱、姓名、身份证以及电话等隐私信息。另一个漏洞的发现者也曝出“新版12306网站存在多个订票逻辑漏洞”,该漏洞可能导致后期订票软件泛滥,造成订票不公。
后记:
截止发稿,携程最新的回应称,已修复该漏洞,经排查93名用户的支付信息存在潜在风险,已通知这些用户更换信用卡。经核实,目前没有出现用户信用卡被盗刷的情况。携程承诺,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。
虽然携程态度积极,但是我们看到从2011年CSDN的漏洞事件开始,每年互联网的泄露事件层出不穷,但是互联网企业并没有从别人的事故中吸取教训,仍然在信息安全上犯一些低级错误。
今天移动互联网快速发展,一部小小的手机承载着我们的家庭照片、朋友圈、位置追踪、工作单位、信用卡密码、支付信息等等,这让国人更加担心网络安全的隐患问题。痛定思痛,请问,未来我们要如何面对我们的隐私?