廣東出入境政務網444萬條信息裸奔漏洞已修補_新聞臺

　　29日上午，網友在新浪微博揭露廣東省公安廳出入境政務服務網網站後臺存在漏洞。獲得漏洞地址的人士可以訪問2011年6月24日至當天所有網上申請者提交的信息，共計444萬餘條。

　　廣東省公安廳承認，該網站確實存在技術漏洞，現已修補完畢。

　　>>事件

　　問題一個月前已暴露

　　29日早上，知名IT人士“@月光博客”發佈微博：“廣東省公安廳出入境政務服務網網上申請數據洩露，幾乎全部提交網上申請用戶的真實姓名、護照號碼、港澳通行證號碼遭到泄密。”並提供了相關信息的模糊截圖。

　　記者登錄漏洞地址看到，該網頁顯示的是網上申請數據的列表。根據洩露網頁首頁和末頁的數據，此次洩露的信息範圍是2011年6月24日至12月29日12時30分以前所有通過網站申請簽注的用戶資料，總數達4441387條。

　　最新信息是29日12時30分李某的申請記錄。點擊每條記錄，都可看到用戶的出生年月、郵寄地址、郵編、電話、證件有效期、出境事由等信息。記者在該網頁搜索欄內輸入自己的通行證號碼，發現自己下半年3次申請港澳簽注的記錄和相關的個人信息。

　　據了解，相關漏洞由網名為“刺刺”的程序員發現，11月29日“刺刺”將漏洞信息提供給“烏雲（WooYun）”平臺，12月29日早上“烏雲”將漏洞信息交由IT人士“@月光博客”發佈。“烏雲”平臺負責人説，11月29日收到漏洞信息後，他們已交給相關部門處理，因為處理漏洞需要時間，所以他們在一個月後才公佈漏洞。

　　政府網泄信息危害大

　　“@月光博客”分析，此次漏洞估計是程序設置問題，查看後臺信息功能的權限控制錯誤，導致普通用戶可以繞過登錄環節，直接訪問後臺頁面查看數據。

　　資深程序員、某電子商務網站創始人徐湘濤説，涉及後臺數據時，每個網站的管理人員會根據職責得到不同信息權限。在用戶數據頁面展現前，應該有校驗身份的過程，相關人員通過校驗後才能訪問後臺信息。“在外網輸入網址就能查看後臺數據，對程序員來説這是一個挺低級的錯誤。”

　　就近日一連串泄密事件，“@月光博客”説：相當於實名制網站的電子商務平臺洩露數據很恐怖，用戶沒有應對措施，去電商網站購買商品，不可能留假名、假地址、假手機號碼。而政府類服務網站洩露信息危害更大，很多不上網的用戶資料信息也遭到洩露，比商業網站出問題可怕百倍。

　　>>處置

　　技術漏洞已修補完畢

　　29日12時，證實漏洞存在後，記者向廣東省公安廳反映。當天13時30分後，相關網頁無法訪問，顯示“內部服務器故障”。

　　當天21時許，廣東省公安廳通過官方微博“@平安南粵”回應稱：“網上有消息稱，廣東省公安廳出入境政務服務網存在技術漏洞問題。廣東省公安廳迅速成立專責小組對該情況進行核查。經初步調查，該網站確實存在技術漏洞，現已修補完畢。”回應還稱，是否造成信息洩露仍在調查，“就比如門被打開了，東西是否被偷走，還不得而知”。

　　截至29日晚，此前洩露出的後臺網頁，外網已無法訪問。

　　>>調查

　　網站泄密並非近期才密集發生

　　連日來的“泄密”風波引起人們對網絡上個人信息安全的擔憂。徐湘濤認為，明文保存密碼是多個商業網站用戶信息被洩露的關鍵。此外，國內不少網站包括政務網站，系統架構水平較低，網站開發和管理人員的安全意識比較差。

　　對於網站“泄密”一事，徐湘濤説，這些事情一直都在發生，不是在近期密集發生，而是密集被公開。金山反病毒工程師李鐵軍也説，從各個網站被洩露的用戶數據來看，這些數據被洩露已有幾個月甚至幾年時間，並非近期竊取的數據。

　　“泄密問題出在服務端，用戶完全不可控，裝在客戶端的殺毒軟體也無法防止。軟體的漏洞總是不斷地被發現，只能靠網站不斷維護。”李鐵軍説，如果網站請專業的安全團隊做維護，會發現黑客入侵信息，堵截相關漏洞，否則可能被黑客盜取資料仍渾然不知。

　　此外，北京市盈科（廣州）律師事務所律師賀俊説：“不管是黑客入侵還是內部洩露，網站既構成侵權，又構成違約。如果用戶因為信息洩露造成損失，有權向網站索賠。”

　　>>支招

　　如何確保信息安全

　　互聯網時代，普通網民應該如何保護個人信息安全？

　　反病毒工程師李鐵軍建議，網友應該把日常使用的網絡服務分類，重要服務如郵箱等，需設置專用密碼，避免黑客獲得其他網站洩露的數據庫入侵郵箱。

　　李鐵軍特別強調，網民需注重常用郵箱的賬號和密碼安全，一旦郵箱被入侵，黑客可以從郵件的信息中獲取聯絡人、職業和使用者個性等信息，有可能冒用身份，發送病毒郵件和木馬後門程序，實現詐騙等活動。“郵箱就像保險箱，裏面有打開其他服務的全部鑰匙。”