个人信息接连泄露?内部漏洞难辞其咎

从上周日开始,与信息泄露相关的新闻接连被“引爆”,从京东数据库在黑市流转,身份证轨迹全套被交易,到国家电网App信息遭泄露,暴露了我们信息安全环境的“薄弱”。

今天,公安部向媒体公布了其针对“身份证轨迹大曝光”事件进行的调查结果:已查明此案是由相关单位内部人员与社会人员相互勾结所为,3名涉案人员已抓捕归案,目前案件正在进一步侦办中。

而在《IT时报》记者的采访中,安全专家也曾表达过相同看法:“内部人员”常常作为关键因素存在于不少信息泄露的案件中。

“内鬼”一直是毒瘤

12月12日,媒体爆出一种统称为“身份证大轨迹”的个人信息包中包括了开房记录、列车记录、航班记录、网吧记录、出境记录、入境记录、犯罪记录、住房记录、租房记录、银行记录、驾驶证记录等11个项目在内的与个人身份证相关联的信息包。只要支付费用,只需要1天到2天便可出查询结果。

在与相关安全人士沟通过程中,我们发现,开房记录、入境记录和犯罪记录等数据项目全部归属相应的政府部门来管理,泄露过程中,管理部门是否存在问题?安全专家吕礼胜分析道,这是目前最严峻的挑战,因为这种信息普通网民无法通过公开的互联网接口来访问获得,往往都由相关部门“内网”管理,因此不法黑客对此类信息的“攻击面”也很窄,有理由怀疑这些数据的泄露可能是由内部人士操作,也就是说是“人祸”。他同时表示,从整个安全行业来说,内部员工通过职务之便泄露信息以谋求个人利益的事情屡见不鲜。

2015年,京东被爆出大量用户隐私信息泄露,多名用户被骗走金钱,总共损失数百万。后来调查知道源头是3位物流人员,他们通过物流流程,掌握了用户姓名、电话、地址、何时下单、所购货物等信息,总数据达到9313条。2014年年初,支付宝也被爆20G用户资料泄露。后查,泄露是由“内部作案”。

针对此次国家电网App信息泄露事件,另一位安全专家李铁军则认为尽管国家电网对此进行了否认,但其在管理和制度上多少存在问题。《IT时报》记者在淘宝上发现,不少为国家电网App“刷”用户的生意存在,比如“国森网络”、“一帆风顺网络工作室”等,1块钱就可买到一个用户信息,在这些提供服务的淘宝店家中,很难排除一手为这些App刷单,一手向黑客转手交易信息的行为漏洞,尽管其中用户信息早已是真假难辨,但无形中加大了用户信息泄露的风险。

安全防御不能贪图低成本

京东事件中,数据泄露事件与Struts2安全漏洞相关。据了解,Struts是Apache基金会的一个开源项目,广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。

李铁军表示,Struts2是一个开放性的开源框架,由于是在别人的基础上去做,所以对于用户来讲开发成本较低,目前全球很多互联网公司和政府机关都在使用。但这样一来,坏处是一旦漏洞被攻击,造成的损失会相当大。

李铁军认为,如果不可避免地使用这种框架和底层模板,相关公司、银行和政府部门应该做到快速响应,当发现漏洞时要及时去弥补和修复,或者推出新的版本进行技术升级。“再优秀的大型的操作系统软件或者是数据库软件,都难以避免地存在不同程度的安全漏洞。”

犯罪分子获取公民个人信息六大渠道:

1:网络黑客通过技术手段窃取单位或企业存储的公民信息;

2:通过招聘、婚介、办理会员、送礼品等需要填写个人信息的渠道获取;

3:   利用假冒网站链接骗取受害人信息;

4:   犯罪嫌疑人利用伪基站设备发送虚假链接方式窃取公民信息;

5:   各行业内部工作人员利用工作便利窃取、出售公民个人信息。

6:   犯罪嫌疑人利用QQ群、百度网盘、黑客论坛等网站平台,使用网络电话、虚假身份等进行联络,通过网银转账或第三方支付平台进行交易、交换公民个人信息。

事件回顾

12月10日晚间,黑市上出现重磅“炸弹”,一个12G的数据包在肆意流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等方面信息,数据多达数千万条。而黑市买卖双方皆称,“这些数据来自京东。”

12月12日,有媒体爆出只要支付相关费用,包括开房记录、名下资产、乘坐航班,甚至网吧上网记录信息,四大银行存款记录、手机实时定位、手机通话记录,就能轻而易举地被查到。

12月14日,有消息称国家电网官方App出现数据泄露,涉及用户规模超过千万级,对此,国家电网昨天晚上在官方微博回应称:在推广掌上电力、电e宝App过程中不存在泄露大量客户信息的情况,并已经下架关闭了涉嫌违规开展相关代办业务的商家。

(0)

相关推荐