央視《每周質(zhì)量報告》節(jié)目8月10日報道稱今年3月份��,杭州市一快遞公司的負(fù)責(zé)人發(fā)現(xiàn)有人在網(wǎng)上公開買賣他們公司快遞單上的用戶信息�。
網(wǎng)絡(luò)安全專家瑞星公司唐威表示:“通常很多我們發(fā)現(xiàn)不注意安全的這種管理員的話,他甚至是使用比如說123456��、12345678這種非常簡單的密碼��,當(dāng)做后臺的密碼�。我們輸入用戶名,密碼123456���,點擊登錄����,OK 現(xiàn)在已經(jīng)登錄成功了�,這就說明這個網(wǎng)站是存在弱密碼這么一個漏洞的。”
可見�����,利用管理員的身份進(jìn)入后臺�����,并不等于實現(xiàn)了對整個網(wǎng)站的控制�,通常網(wǎng)站后臺只是一個內(nèi)容發(fā)布平臺,要想獲得數(shù)據(jù)庫訪問權(quán)限���,就需要上傳一個后門工具文件���。
另外�����,黑客通過漏洞登陸網(wǎng)站后臺�,上傳后門工具�,繼而控制整個網(wǎng)站服務(wù)器,這個操作過程并不復(fù)雜����,難的是如何在前期測試出網(wǎng)站存在什么樣的漏洞,繼而為己所用�。
不過,像弱口令���、上傳漏洞這樣的漏洞其實很初級���,但是也并不少見,甚至有些大型網(wǎng)站的后臺登陸密碼就是一個弱口令�����,而這樣低級的漏洞一旦被黑客利用��,網(wǎng)站的安全就會受到威脅����。
唐威建議:快遞公司的數(shù)據(jù)庫一定要做好定期銷毀����,并且在網(wǎng)站的搭建上應(yīng)做好安全防范工作�,并對網(wǎng)站����、入口進(jìn)行全面安全檢測。“像上述案件中出現(xiàn)的密碼漏洞�����、上傳漏洞等����,如果網(wǎng)站運(yùn)營負(fù)責(zé)人做過安全檢測,一定能夠發(fā)現(xiàn)”��。唐威稱����,許多中小型物流公司對信息安全不夠重視,因此也常常成為黑客攻擊的對象�。物流公司應(yīng)當(dāng)做好防護(hù)工作�����,并在運(yùn)營機(jī)制的設(shè)立上考慮安全性問題�,如對不同的管理人員設(shè)定不同的訪問權(quán)限�����。
對于泄漏快遞公司被泄漏出去的數(shù)據(jù)庫當(dāng)作了某些人的非法牟利手段�����,有法律專家表示:監(jiān)管缺失是個人信息遭非法買賣的原因之一�����。
網(wǎng)絡(luò)安全專家還告訴央視記者�,這些犯罪分子竊取用戶個人信息的手段并不高明。那為什么我國個人信息被販賣的情況卻禁而不止���,難以解決呢�����?
據(jù)了解�����,我國刑法在2009年將非法買賣和獲取個人信息列為刑事犯罪的新類型�,并制定了相應(yīng)的懲處標(biāo)準(zhǔn)。但是���,有專家還指出,同非法買賣個人信息的嚴(yán)重程度相比��,我國大多出地區(qū)還沒有對此類案件的立案標(biāo)準(zhǔn)��,執(zhí)法和處罰的力度現(xiàn)在也遠(yuǎn)遠(yuǎn)不夠��。
專家強(qiáng)調(diào)����,非法買賣個人隱私信息的行為之所以屢禁不止還有一個原因就是其背后隱藏著完整的利益鏈條。許多不法分子獲取個人隱私信息后有不當(dāng)?shù)美目臻g���,而這些行為的違法成本又相對較小��,個人信息被濫用的情況相當(dāng)嚴(yán)重�����。因此�����,對濫用信息的打擊和懲處力度也是亟待解決的重要問題���。
北京師范大學(xué)法學(xué)院教授劉德良說道:“垃圾電話�����、騷擾短信每天都很多�����,但是我國恰恰在這一塊上沒有相應(yīng)的規(guī)定��。如果國家重點打擊個人信息濫用行為���,這一塊被遏制了,上述利益鏈條部分環(huán)節(jié)就沒有了動力�。”(內(nèi)容整理自京華時報、央視新聞����、中新網(wǎng))
阿明點評:漏洞不漏洞����,關(guān)鍵在于管理�。不管是快遞公司,還是某些專業(yè)網(wǎng)站��,都時常會傳出漏洞事件�����。事情過去了����,似乎就平靜了���,后期的解決方案如何了����?數(shù)據(jù)庫的安全如何了�����?包括對于數(shù)據(jù)安全的備份情況如何了?這些問題�,都是出事公司或單位CTO\CIO必須要考慮的,但是�����,只要過得了一時���,后面慢慢做吧����。
或許��,某個時候����,漏洞本身就不是新聞了。因為人們習(xí)以為常了�����,那又會怎樣����?沒有私密��,沒有隱私���,這個世界就是一個開放自由的世界,這不正是某些人所追求的嗎����?
但是,這樣的無規(guī)則的開放與自由���,是以騷擾或傷害大多數(shù)人為基礎(chǔ)的�。只要有一點點這樣的想法�����,就是很不純潔的表現(xiàn)��。
當(dāng)然了�,對于某些好奇心很強(qiáng)的大學(xué)生����,多少秒就入侵快遞公司數(shù)據(jù)庫,說來雖然牛叉��,但一定要注意:如果你真的牛叉,入侵之后就不要讓所有人發(fā)現(xiàn)���。哈哈��。所以��,對于這些好奇心重��,又有鉆研精神的同學(xué)來說����,我們只能嚴(yán)防死守����,做好數(shù)據(jù)安全防護(hù),里三層外三層���,讓他們進(jìn)得來出不去���,直接將入侵者累癱瘓,這才是科技公司的牛叉之道�����。
因此,對于快遞公司數(shù)據(jù)庫漏洞的事情���,最科學(xué)�����、最客觀����、最理想的辦法還是主要依賴數(shù)據(jù)安全公司的舉措為是����。既然沒人能做這個事情,那說明這個領(lǐng)域的市場很大����������?對于賽門鐵克����、RSA……對于瑞星、金山��,不知道他們后續(xù)怎么行動�����?
