央视《每周质量报告》节目8月10日报道称今年3月份,杭州市一快递公司的负责人发现有人在网上公开买卖他们公司快递单上的用户信息。
网络安全专家瑞星公司唐威表示:“通常很多我们发现不注意安全的这种管理员的话,他甚至是使用比如说123456、12345678这种非常简单的密码,当做后台的密码。我们输入用户名,密码123456,点击登录,OK 现在已经登录成功了,这就说明这个网站是存在弱密码这么一个漏洞的。”
可见,利用管理员的身份进入后台,并不等于实现了对整个网站的控制,通常网站后台只是一个内容发布平台,要想获得数据库访问权限,就需要上传一个后门工具文件。
另外,黑客通过漏洞登陆网站后台,上传后门工具,继而控制整个网站服务器,这个操作过程并不复杂,难的是如何在前期测试出网站存在什么样的漏洞,继而为己所用。
不过,像弱口令、上传漏洞这样的漏洞其实很初级,但是也并不少见,甚至有些大型网站的后台登陆密码就是一个弱口令,而这样低级的漏洞一旦被黑客利用,网站的安全就会受到威胁。
唐威建议:快递公司的数据库一定要做好定期销毁,并且在网站的搭建上应做好安全防范工作,并对网站、入口进行全面安全检测。“像上述案件中出现的密码漏洞、上传漏洞等,如果网站运营负责人做过安全检测,一定能够发现”。唐威称,许多中小型物流公司对信息安全不够重视,因此也常常成为黑客攻击的对象。物流公司应当做好防护工作,并在运营机制的设立上考虑安全性问题,如对不同的管理人员设定不同的访问权限。
对于泄漏快递公司被泄漏出去的数据库当作了某些人的非法牟利手段,有法律专家表示:监管缺失是个人信息遭非法买卖的原因之一。
网络安全专家还告诉央视记者,这些犯罪分子窃取用户个人信息的手段并不高明。那为什么我国个人信息被贩卖的情况却禁而不止,难以解决呢?
据了解,我国刑法在2009年将非法买卖和获取个人信息列为刑事犯罪的新类型,并制定了相应的惩处标准。但是,有专家还指出,同非法买卖个人信息的严重程度相比,我国大多出地区还没有对此类案件的立案标准,执法和处罚的力度现在也远远不够。
专家强调,非法买卖个人隐私信息的行为之所以屡禁不止还有一个原因就是其背后隐藏着完整的利益链条。许多不法分子获取个人隐私信息后有不当得利的空间,而这些行为的违法成本又相对较小,个人信息被滥用的情况相当严重。因此,对滥用信息的打击和惩处力度也是亟待解决的重要问题。
北京师范大学法学院教授刘德良说道:“垃圾电话、骚扰短信每天都很多,但是我国恰恰在这一块上没有相应的规定。如果国家重点打击个人信息滥用行为,这一块被遏制了,上述利益链条部分环节就没有了动力。”(内容整理自京华时报、央视新闻、中新网)
阿明点评:漏洞不漏洞,关键在于管理。不管是快递公司,还是某些专业网站,都时常会传出漏洞事件。事情过去了,似乎就平静了,后期的解决方案如何了?数据库的安全如何了?包括对于数据安全的备份情况如何了?这些问题,都是出事公司或单位CTOCIO必须要考虑的,但是,只要过得了一时,后面慢慢做吧。
或许,某个时候,漏洞本身就不是新闻了。因为人们习以为常了,那又会怎样?没有私密,没有隐私,这个世界就是一个开放自由的世界,这不正是某些人所追求的吗?
但是,这样的无规则的开放与自由,是以骚扰或伤害大多数人为基础的。只要有一点点这样的想法,就是很不纯洁的表现。
当然了,对于某些好奇心很强的大学生,多少秒就入侵快递公司数据库,说来虽然牛叉,但一定要注意:如果你真的牛叉,入侵之后就不要让所有人发现。哈哈。所以,对于这些好奇心重,又有钻研精神的同学来说,我们只能严防死守,做好数据安全防护,里三层外三层,让他们进得来出不去,直接将入侵者累瘫痪,这才是科技公司的牛叉之道。
因此,对于快递公司数据库漏洞的事情,最科学、最客观、最理想的办法还是主要依赖数据安全公司的举措为是。既然没人能做这个事情,那说明这个领域的市场很大啊?对于赛门铁克、RSA……对于瑞星、金山,不知道他们后续怎么行动?