企業(yè)網(wǎng)站頻繁出現(xiàn)安全漏洞 信息泄露究竟何時休

申請免費試用、咨詢電話：400-8352-114

　　快遞行業(yè)信息遭“裸奔”

　　互聯(lián)網(wǎng)時代的到來，給我們的生活帶來了翻天覆地的變化，但其雙刃劍效應(yīng)也逐漸凸顯，網(wǎng)絡(luò)信息安全隱患悄然滲入。

　　央視《每周質(zhì)量報告》近日報道，今年3月份，杭州市一快遞公司的負責人發(fā)現(xiàn)有人在網(wǎng)上公開買賣他們公司快遞單上的用戶信息。隨后經(jīng)警方調(diào)查發(fā) 現(xiàn)，是一名在校學(xué)生在做網(wǎng)絡(luò)安全測試時發(fā)現(xiàn)快遞公司或者是其他公司的一些安全漏洞，從中提取個人信息并進行了網(wǎng)絡(luò)售賣。據(jù)了解，有些快遞公司網(wǎng)站的數(shù)據(jù)庫 存在一些比較低級的漏洞，比如弱口令漏洞、上傳漏洞等等，犯罪嫌疑人成功通過漏洞進入網(wǎng)站后臺后，可以通過上傳后門文件，獲取到數(shù)據(jù)庫的訪問權(quán)限，并獲取 網(wǎng)站有效信息。截至案發(fā)，犯罪嫌疑人共獲取了1400萬條個人信息，僅售賣1000余元。

　　無獨有偶，鐵路12306手機APP最新曝光一個安全漏洞，可被“黃牛”利用大量刷票。專業(yè)人士表示，這個漏洞屬于手機端so庫算法泄露漏洞，該算法泄露后，黃牛黨可以利用電腦來模擬多部手機多帳號進行購票操作，甚至于一個人就可以無限制買一車廂的票。

　　事實上，企業(yè)官網(wǎng)安全漏洞頻發(fā)，已被不良分子利用，成為竊取用戶個人信息的主要渠道。該現(xiàn)象猖獗，令人震驚。根據(jù)360網(wǎng)站安全檢測平臺發(fā)布的 《2014上半年中國網(wǎng)站安全簡報》顯示，今年上半年國內(nèi)共發(fā)現(xiàn)705萬個網(wǎng)站漏洞！網(wǎng)站有漏洞，意味著黑客可以輕易入侵網(wǎng)站后臺，服務(wù)器權(quán)限，下載竊取 網(wǎng)站數(shù)據(jù)庫，導(dǎo)致用戶在這些網(wǎng)站留存的個人信息慘遭泄露。而一旦用戶個人信息被泄露，輕則給用戶或其家人朋友帶來不必要的麻煩，遭受到無休止的電話騷擾； 重則使用戶遭受嚴重的經(jīng)濟損失。

　　內(nèi)部監(jiān)管不善是信息泄露主因

　　美國最大的無線通信提供商Verizon近期發(fā)布了《2013年數(shù)據(jù)泄露事故調(diào)查報告(DBIR)》，報告顯示：幾乎70%的數(shù)據(jù)泄露事故都是由第三方檢測出的，而這恰恰反映了許多企業(yè)長期疏忽數(shù)據(jù)泄露檢測的真實現(xiàn)象。

　　以快遞公司為例，官網(wǎng)上的用戶信息容易遭竊取，主要是快遞公司疏于對網(wǎng)站的管理。奇虎360網(wǎng)站安全總監(jiān)趙武曾表示，快遞行業(yè)數(shù)據(jù)安全防護水平 普遍較差，體現(xiàn)在網(wǎng)站漏洞多、修復(fù)不及時、運維人員安全意識薄弱(使用弱口令)等方面。而造成這種問題的主要原因是，大多數(shù)快遞公司缺乏信息安全意識，沒 有預(yù)留足夠的資金組建運營網(wǎng)絡(luò)安全團隊，缺乏“防火墻”的系統(tǒng)，黑客可以來去自如。

　　除了落后的安全技術(shù)配置，不規(guī)范的內(nèi)部管理制度，使得快遞行業(yè)成為近幾年用戶信息泄露的重災(zāi)區(qū)。在快遞公司，快遞單作為快遞信息的載體，一般至 少有四聯(lián)：發(fā)貨人聯(lián)、收貨人聯(lián)、結(jié)賬聯(lián)、簽收聯(lián)。據(jù)了解，訂單配送完返回的面單(顯示用戶信息)會在營業(yè)點內(nèi)保留一年，以備客戶查詢，然后由總公司回收， 并在監(jiān)管部門監(jiān)督下統(tǒng)一銷毀。不過，一些營業(yè)網(wǎng)點對信息保護的不重視，將舊面單隨意丟棄或倒賣。另外，快遞業(yè)務(wù)鏈條很長，從電商平臺、賣家、快遞公司，以 及收派貨環(huán)節(jié)，參與者眾多，每個環(huán)節(jié)都有泄露用戶信息的可能。

　　此外，法律不健全也是造成行業(yè)用戶信息泄露的主要原因。今年4月國家郵政局發(fā)布的《寄遞服務(wù)用戶個人信息安全管理規(guī)定》寄遞企業(yè)及其從業(yè)人員違 法提供寄遞用戶信息，尚未構(gòu)成犯罪的，依照《郵政法》第七十六條規(guī)定予以1萬元以上5萬元以下的罰款，并對快遞企業(yè)直接負責的主管人員和責任人員給予處 分；構(gòu)成犯罪的，移送司法機關(guān)追究刑事責任。違法成本低也讓許多快遞從業(yè)人員無所畏懼。

　　保障信息安全迫在眉睫

　　快遞信息泄露、12306網(wǎng)站漏洞折射了信息安全面臨的嚴峻威脅。而且信息安全再也不是某個行業(yè)所面臨的問題，已經(jīng)輻射到整個互聯(lián)網(wǎng)領(lǐng)域。因此，信息安全的保障已迫在眉睫。

　　首先，法律要加大對信息安全的保障力度。雖然我國刑法在2009年將非法買賣和獲取個人信息列為刑事犯罪的新類型，并制定了相應(yīng)的懲處標準。但 與非法買賣個人信息的嚴重程度相比，我國大多數(shù)地區(qū)還沒有對此類案件的立案標準，執(zhí)法和處罰的力度遠遠不夠。另外，法律法規(guī)的制定部門也要針對特定行業(yè)， 建立健全的用戶信息安全保障制度。

　　其次，針對行業(yè)網(wǎng)站面臨的安全問題，業(yè)內(nèi)人士建議，企業(yè)官網(wǎng)要加強制度技術(shù)的升級，網(wǎng)站負責人定期對網(wǎng)站進行安全檢測，及時發(fā)現(xiàn)并修復(fù)網(wǎng)站漏洞 隱患，有效防范黑客入侵和DDoS等攻擊。企業(yè)官網(wǎng)要加強制度技術(shù)的升級。真正打擊網(wǎng)絡(luò)安全行為，企業(yè)就必須從制度和技術(shù)兩方面入手，多方聯(lián)合，齊抓共 管。

　　最后，企業(yè)要加強自律行為，重視用戶的信息安全。譬如，快遞公司的數(shù)據(jù)庫一定要做好定期檢查并做好數(shù)據(jù)銷毀，同時快遞企業(yè)嚴格控制負責維護客戶信息數(shù)據(jù)庫的技術(shù)人員的管理權(quán)限，盡可能減少信息泄露的途徑，將用戶的信息保護落到實處。

上海網(wǎng)站建設(shè)  http://www.cqzz.net