广东444万条出境申请信息 网上“不设防”■从图片上看,疑似被泄露资料的用户有4441392行。
广东公安厅出入境政务网 400余万条用户信息“裸奔” 屏幕画面为广东省公安厅出入境政务网“泄露”出的用户信息数据后台网页截图。 南都讯 记者陈万如 近日国内多个商业网站的用户信息被泄露,愈演愈烈的“泄密门”中,政务网站也未能幸免于“数据裸奔”。昨天上午,网友在新浪微博揭露了广东省公安厅出入境政务服务网网站后台存在漏洞。获得漏洞地址的人士可以访问2011年6月24日至昨日所有网上申请者提交的信息,共计444万余条。 问题一个月前就暴露 昨日早上,知名IT人士@月光博客发布微博:“广东省公安厅出入境政务服务网网上申请数据泄露,几乎全部提交网上申请用户的真实姓名、护照号码、港澳通行证号码遭到泄密,目前该漏洞还没有修复。”并提供了相关信息的模糊截图。 记者从相关人士处获得漏洞地址http://crj.gdga.gov.cn/*******.网页显示是网上申请数据的列表。根据泄露网页首页和末页的数据,此次泄露的信息范围是2011年6月24日至昨日中午12:30前所有通过网站申请签注的用户资料,总数高达4441387条。 最新信息为昨日中午12时30分李*的申请记录。点击每条记录,可看到用户的出生年月、邮寄地址、邮编、电话、证件有效期、出境事由等信息。记者在该网页搜索栏内输入自己的通行证号码,赫然发现自己下半年三次申请港澳签注的记录和相关的个人信息。 据记者调查,相关漏洞由一名网名为“刺刺”的程序员发现,11月29日“刺刺”将漏洞信息提供给“乌云(WooY un)”平台,昨日早上“乌云”将漏洞信息交由著名IT人士“@月光博客”发布。“乌云”平台的负责人表示,11月29日收到漏洞信息后他们已交给相关部门处理,因为处理漏洞需要时间,所以他们在一个月后才公布漏洞。 程序员称是“低级错误” “@月光博客”分析,此次漏洞估计为程序设置问题,查看后台信息功能的权限控制错误,导致普通用户可以绕过登录环节,直接访问后台页面查看数据。 资深程序员、某电子商务网站创始人徐湘涛表示,一般来说,涉及后台数据时,每个网站的管理人员会根据职责得到不同的信息权限。在用户数据页面展现之前,应该有“校验身份”的过程,相关人员登录、通过校验后,才能访问后台信息。“在外网输入网址就能查看后台数据,对程序员来说这是一个挺低级的错误。” 就近日连串泄密事件,“@月光博客”评论道:“相当于实名制网站的电子商务平台泄露的数据是最恐怖的……最令人郁闷的是,用户没有应对措施,去电商网站购买商品,不可能留下假的名称、假地址、假手机号码”。而他认为,“政府类服务网站泄露信息危害更大,导致很多不上网的用户资料信息也遭到泄露,比商业网站出问题可怕百倍。” 事件处置 省公安厅:网站确有技术漏洞 昨晚9时许称已修补完毕,外泄网页已无法访问 南都讯 记者陈万如 周皓 昨日中午12时,证实漏洞存在后,记者马上向省公安厅反映。昨日13点30分后,相关网页无法访问,显示“内部服务器故障”。 昨晚9时许,省公安厅通过官方微博“@平安南粤”回应称:“近日,网上有消息称,广东省公安厅出入境政务服务网存在技术漏洞问题。广东省公安厅对此高度重视,迅速成立专责小组对该情况进行核查。经初步调查,该网站确实存在技术漏洞,现已修补完毕。” 在另一条微博中,“@平安南粤”称:“目前,公安机关正对该事件做进一步调查。公安机关提醒,任何在网上非法入侵、窃取数据都属违法犯罪行为,公安机关将对此严厉打击。群众一旦发现上述行为,请立即向公安机关举报。” 截至昨晚,此前泄露出的后台网页,外网已无法访问。 新快报:猖狂黑客连警方也敢挑战! 省公安厅微博回应:网站确有技术漏洞,已修补完毕 ■新快报记者 刘操 文/图 昨日上午,网友“月光博客”在微博上曝出,广东省公安厅出入境政务服务网网上申请数据泄露,400多万申请用户的真实姓名、护照号码、港澳通行证号码等资料遭到泄密,此事立即引起了网友极大关注。广东省公安厅官方微博“平安南粤”昨晚回应称,经初步调查,该网站确实存在技术漏洞,现已修补完毕。 昨日上午10时54分,“月光博客”在微博上爆料的同时,还在博文上附了一张疑似泄露的数据照片,上面显示有一些用户的姓名、证件号码和申请日期。十分钟后,“月光博客”又发布消息称:“每条记录点击进去,还可以看到该用户的出生年月、电话、证件有效期、出境事由等信息。” 昨天中午12时13分,“月光博客”再次在微博上表示,根据泄露网页底部的数据显示,这次泄露的总用户数量高达444万条信息,数量惊人。 记者从微博的配图上看到,“泄露”数据的人数共4441392行。但在昨日下午,新快报记者多次登录广东省公安厅出入境政务服务网,并仔细点击网站每一个选项,但均无法找到微博上显示的图片成像网页,也未查询到任何一名用户资料。 昨日下午1时19分,“月光博客”还在自己的博客中发表题为“电子商务和政府网站用户资料泄漏”的博文呼吁,我们的监管部门需要注意,面对愈演愈烈的“泄密门”事件,不仅仅要治标,还要治本。 记者从微博上看到,“月光博客”的认证名为知名IT独立博客作者。 网友说法 泄密门愈演愈烈须严惩 昨日泄露信息的消息一出,立即引来社会各界的极大关注。很多网友转载相关微博,并附有疑似泄露信息的截图。有网友表示:“黑客越来越猖狂了,连政府网站都中镖,网络上都没有安全的地方了。”还有网友表示,信息“泄密门”好像愈演愈烈:先是社交网站,然后是各大论坛,接着是银行用户,现在是公安厅出入境数据。这些已经属于违法犯罪了,必须抓出来严惩。 公安厅回应 将严打网侵犯罪 请广大群众举报 昨晚8时57分许,广东省公安厅的官方微博“平安南粤”发博文回应称,近日,网上有消息称,广东省公安厅出入境政务服务网存在技术漏洞问题。广东省公安厅对此高度重视,迅速成立专责小组对该情况进行核查。经初步调查,该网站确实存在技术漏洞,现已修补完毕。 目前,公安机关正对该事件做进一步调查。公安机关提醒,任何在网上非法入侵、窃取数据都属违法犯罪行为,公安机关将对此严厉打击。群众一旦发现上述行为,请立即向公安机关举报。 工信部表态 谴责窃用户信息 网站要开展自查 据悉,工信部28日曾在其官方网站表示,针对近期发生的一些网站用户信息泄露事件表示强烈谴责。工信部同时要求各互联网站开展全面的安全自查,及时发现和修复安全漏洞,采用加密方式存储用户信息,保障用户信息安全。(新快报) 业内人士称各大网站数据库泄露圈内已流传多年 |
手机版|天牛网 ( 粤ICP备11104627号 )
GMT+8, 2024-11-23 00:20