攜程不是個案!中國互聯網五大最恐怖泄密事故
每個人都成為了互聯網時代的透明人,這話還真不是嚇人的。我們每個人在使用互聯網的過程中,總會留下各種各樣的信息和痕跡,互聯網一旦出現漏洞,個人隱私自然就被曝光在公眾面前。回顧互聯網的發展史,攜程“泄密門”絕不不是第一次,也不會是最后一次。
一個銀行支付安全漏洞,讓知名旅游網站攜程網成為“眾矢之的”。3月22日晚間,烏云(WooYun)漏洞平臺披露了一則攜程網安全漏洞信息,指出攜程網支付過程中的調試信息可被任意黑客讀取,導致持卡人姓名、身份證、信用卡號等信息泄露。目前,攜程客服接到咨詢及要求解除銀行卡綁定的電話不斷,而招行、浦發等多家銀行的信用卡部也在連夜為眾多銀行卡客戶更換銀行卡。
各種網絡平臺的蓬勃發展在帶來便利的同時,也讓我們和網站安全緊緊綁在一起。但是,大部分人對網絡安全專業知識又不太了解,造成不良網站肆意過度收集用戶信息,給網民的隱私安全埋下可怕的隱患。
而事實上,這種恐怖的個人隱私泄密事件,對中國互聯網來說并非首次。今天我們一起來盤點下,中國互聯網五大最恐怖的超危泄密事故。
一、360搜集用戶隱私被Google抓取 上億用戶名密碼外泄
2010年最后一天,普通用戶在Google網站上搜索制定關鍵字,可以搜到大量中國互聯網用戶使用互聯網的隱私記錄,甚至包括和用戶登陸網站或郵箱的用戶名、密碼等。隨后,多項證據表明,該事故的源頭在于,360在通過其客戶端秘密收集用戶信息,由于這臺服務器的配置問題,導致360不慎將記錄了大量用戶信息的日志文件被Google收錄索引,造成用戶信息大規模外泄。
根據金山公司的統計,此次泄密事故共導致3億網民面臨隱私信息被竊取的風險。由于該服務器可以在互聯網直接訪問,可能所有被上傳的用戶數據都已經被各類黑客、電腦愛好者、潛在的破壞者下載。因此,造成了不可估量的損失。
而在去年11月,烏云又公布了一份360隱私漏洞信息:360一漏洞致使用戶名和密碼可被任意修改,該漏洞危及360手機衛士、360云盤、360瀏覽器云同步,并可泄露通訊錄、短信、通話記錄等。泄露的信息中甚至有某女明星賬號。同時,爆料者還表示測試了360幾個高官的郵箱,結果發現360高官并未使用360的產品。
二、CSDN、天涯、支付寶多家網站密碼外泄門
2011年12月,CSDN、多玩、世紀佳緣、走秀等多家網站的用戶數據庫被曝光在網絡上,由于部分密碼以明文方式顯示,導致大量網民受到隱私泄露的威脅。
12月25日,事件繼續升級,烏云漏洞平臺再次爆出天涯社區4000萬用戶資料泄露,用戶明文密碼泄露。之后,天涯社區在網站上發表致歉信。
12月29日,傳言當當網1200萬完整用戶數據已經泄露,包括用戶真實姓名、注冊郵箱、收貨地址、電話等信息。同時,用戶數據最為重要的電商領域,也不斷傳出存在漏洞、用戶泄露的消息,烏云報告稱,支付寶用戶大量泄露,被用于網絡營銷,泄露總量達1500萬~2500萬之多,泄露時間不明,里面只有支付用戶的賬號,沒有密碼。
三、如家、七天2000萬條客戶開房信息遭泄露
2013年10月,如家、七天等連鎖酒店被網曝有多達2000萬條客戶開房信息遭泄露。
據《新京報》2013年10月20日報道,10月18日,實名認證的新浪微博賬戶@股社區發布了一個名為“查開房”的網址。只需輸入姓名或身份證號,即可查詢到包括身份證號、生日、地址、手機號、郵箱、公司、登記日期等真實信息。
事發一周前,國內安全漏洞監測平臺烏云(WooYun.org)發布報告,稱多家酒店開房記錄被無線上網認證管理系統供應商——浙江慧達驛站網絡有限公司存儲,并因系統有漏洞而存在泄露隱患。慧達驛站公司確認曾存在漏洞并已修復,并稱未造成開房記錄等住客個人信息泄露。
四、圓通百萬快遞單網上出售
2013年11月,圓通速遞近百萬條快遞單個人信息在網絡上被公開出售,網上甚至還出現了專門交易快遞單號的網站,如“淘單114”“淘鋪發”“淘單網”“單號吧”等。在這些網站,每個單號都被明碼標價,“批發價”最低四角,儼然已成為一種“產業”。據記者調查,每天在網上交易的快遞單號高達3萬個左右。
犯罪分子在購買快遞單信息后,即可從事不法行為。2013年3月份,家住深圳羅湖的虞峰(化名)托朋友給自己快遞七部價值總計8400元的聯想手機,但苦等幾日,都不見手機寄到。虞峰一查物流信息竟發現,手機已被“自己”領走。最終公安調查發現,原來,犯罪嫌疑人范某購得虞峰的信息后,立即聯系制造了虞峰的身份證件,在確認快件到達快遞公司網點,尚未進入派送之時,以假證件騙過快遞公司員工后,直接領走虞峰的七部手機,隨后將手機變賣。
五、攜程“泄密門”:過度收集用戶銀行卡信息
3月22日,烏云漏洞平臺發布消息稱,攜程系統存技術漏洞,可導致用戶個人信息、銀行卡信息等泄露。據烏云平臺稱,攜程將用于處理用戶支付的服務接口開啟了調試功能,使部分向銀行驗證持卡所有者接口傳輸的數據包均直接保存在本地服務器。漏洞泄露的信息包括用戶的姓名、身份證號碼、銀行卡類別、銀行卡卡號、銀行卡CVV碼(即卡號、有效期和服務約束代碼生成的3位或4位數字)以及銀行卡6位Bin(用于支付的6位數字),上述信息有可能被黑客所讀取。
根據銀聯2008年發布的《銀聯卡收單機構賬戶信息安全管理標準》規定,各收單機構系統不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼(PIN)及卡片有效期等敏感賬戶信息。攜程記錄用戶信用卡信息的“過度收集信息行為”,直接導致了此次信用卡讀取高危危機。
一位安全領域技術高管表示,攜程網本次泄密事件的嚴重程度遠遠超過CSDN泄密事件。CSDN是數據庫數據泄漏,而這次是日志數據泄漏,更嚴重的是,日志數據里記錄跟錢相關的詳細數據。
