接到莫名其妙的推銷電話,郵箱、QQ甚至網銀密碼被盜……在互聯網時代,我們的個人資訊正在“裸奔”。 到底是誰出賣了我們的資訊?近日,齊魯晚報·齊魯壹點記者聯合專注于資訊安全的技術公司——山東安雲資訊技術有限公司進行了一系列實驗。
輸入一串亂碼
使用者資訊輕易拿到
我們每天登錄的網站、愛不釋手的APP,是否潛藏著資訊洩露的風險?
近日,安雲科技的技術員對市民常用的網站進行監測,發現某酒店官網存在安全性漏洞。 “我們不會直接入侵該酒店網站,但可以模擬該網站的漏洞環境,搭建一個類似網站,並導入海量類比使用者資訊,在這個實驗環境中看看,類似網站有沒有使用者資訊洩露的風險。 ”
工程師在模擬網站中註冊了一個會員,登錄後開始尋找網站邏輯漏洞。 找到一個可利用的漏洞後,工程師通過特殊技術構建了一個查詢對話方塊,在對話方塊中輸入了“王”字,26萬余條王姓會員資訊跳了出來。
工程師又用弱密碼123456進行破解,當場提取了1000個王姓會員的資訊,包括姓名、手機號、身份證號、積分、會員卡號。 “我用的是較為常見的123456密碼,就能得到這麼多人的資訊。 工程師在使用更高級的攻擊及破解技術後,則獲得了該網站所有會員的資料,多達數十萬。 ”
一些購物網站也沒能倖免,工程師發現一個有安全隱患的購物網站。 按照同樣的方法,工程師搭建了個一模一樣的虛擬網站,輸入了十幾行代碼,半小時後成功獲得了該虛擬網站的管理員許可權。 “我化身成了該網站的管理員,登錄後,網上會員資料、商品訂單、資料庫備份等資料隨便看。 ”
在一款有漏洞的手機APP上,經過一番探查,工程師發現,這個漏洞主要存在於資訊查詢功能上。
“這個亂碼就是我們分析出的程式漏洞,相當於配了一把打開別人家門的鑰匙,進去之後所有的資訊就都看見了。 這種漏洞存在於具有資訊查詢功能的對話方塊中,比如大家熟悉的快遞網站首頁,輸入運單號查詢物流資訊。 如果物流網站具有這種邏輯漏洞,被駭客攻擊後,所有人的物流資訊就被洩露。 ”該工程師說。
測試400個網站
60個存重大漏洞
安雲科技介紹,近日,Struts2被曝存在高危漏洞,駭客利用漏洞可以實現遠端命令執行。
什麼是Struts2?“它相當於網站搭建的框架,目前廣泛應用於大型互聯網企業、政府、金融機構等網站建設,只要是用這種框架搭建的網站都有這個漏洞。 在我們監測的400個網站中,就有60個網站不幸中招了。 ”工程師介紹。
安雲科技還針對高校網站進行了一次安全測試,對243所高校官網進行資料獲取,從業務安全、隱私安全、應用安全、主機安全、網路安全等五個維度進行綜合打分。 其中,80所高校評價為“良好”,103所評價為“一般”,60所評價為“較差”。
“可以直觀地理解為,一般和較差的網站都是存在漏洞的,給了駭客可乘之機。 ”工程師說道。
安雲科技還對醫療網站進行過分析,68個網站中,56個評價為“良好”,8個評價為“一般”,4個評價為“較差”。
“在實際的攻擊中,駭客在一個網站獲取個人密碼後,還可以拿密碼等個人資訊到其他網站中‘撞庫’分析,通過多家網站中的資訊獲取,經過關聯、對比後,能將個人資訊進行更為詳細的還原。 ”安雲科技介紹。
七成資訊洩露, 來自駭客攻擊
近日,360互聯網安全中心發佈《2016年中國網站安全性漏洞形勢分析報告》。 報告顯示,在2016年,360網站安全檢測平臺共掃描各類網站197.9萬個,發現存在漏洞的網站91.7萬個,占比為46.3%,比2015年略有下降。 雖然漏洞網站數量下降,但高危漏洞數量大幅增長,這說明,極少數網站集中出現大量高危漏洞。 網站高危漏洞激增,導致大量資訊被洩露。
上游駭客獲取資訊,下游資訊販子轉手買賣,個人資訊販賣已經形成了產業鏈,類似交易每天都在發生。騰訊公司首席執行官馬化騰援引公安部門數據稱,當前我國網路非法從業人員已超過150萬,黑產市場規模已達到千億元級別。
山東省資訊網路安全協會專家張朝倫介紹,網路資訊洩露無外乎兩個原因,一是外部攻擊,二是內部竊取。“從資訊洩露事件的概率來看,外部攻擊要占到七成。對外部攻擊者來說,其最主要的手段就是尋找並利用資訊系統的漏洞。”
“知名的互聯網公司技術團隊龐大、技術水準較高,在個人資訊保護上做得較好。有一些企業網站,因為自身資料管理意識薄弱、資料庫安全防範技術水準較差,很容易洩露資訊。”張朝倫說。
張朝倫認為,相關監管部門需要儘快規範企業網站的開發安全標準,並加大安全技術人員的培訓力度。“國家需要制定一個統一的標準,不達標的網站不能運行,並對照標準進行監測、整改。現在專業的安全開發人員很緊缺,需要加快相關專業的設置和人才培養。”
編輯:吹吹
齊魯壹點用戶端版權稿件,未經許可不得擅自轉載,違者將依法追究法律責任。
上游駭客獲取資訊,下游資訊販子轉手買賣,個人資訊販賣已經形成了產業鏈,類似交易每天都在發生。騰訊公司首席執行官馬化騰援引公安部門數據稱,當前我國網路非法從業人員已超過150萬,黑產市場規模已達到千億元級別。
山東省資訊網路安全協會專家張朝倫介紹,網路資訊洩露無外乎兩個原因,一是外部攻擊,二是內部竊取。“從資訊洩露事件的概率來看,外部攻擊要占到七成。對外部攻擊者來說,其最主要的手段就是尋找並利用資訊系統的漏洞。”
“知名的互聯網公司技術團隊龐大、技術水準較高,在個人資訊保護上做得較好。有一些企業網站,因為自身資料管理意識薄弱、資料庫安全防範技術水準較差,很容易洩露資訊。”張朝倫說。
張朝倫認為,相關監管部門需要儘快規範企業網站的開發安全標準,並加大安全技術人員的培訓力度。“國家需要制定一個統一的標準,不達標的網站不能運行,並對照標準進行監測、整改。現在專業的安全開發人員很緊缺,需要加快相關專業的設置和人才培養。”
編輯:吹吹
齊魯壹點用戶端版權稿件,未經許可不得擅自轉載,違者將依法追究法律責任。