接到莫名其妙的銷售電話后，郵件、QQ甚至網(wǎng)銀密碼都被盜了……在互聯(lián)網(wǎng)時(shí)代，我們的個(gè)人信息就是“裸奔”。到底是誰出賣了我們的信息？近日，齊魯晚報(bào)記者齊魯意電與專注于信息安全的科技公司山東安韻信息科技有限公司進(jìn)行了一系列實(shí)驗(yàn)。

輸入一串亂碼用戶信息輕易拿到

我們每天登錄的網(wǎng)站和應(yīng)用是否存在信息泄露的隱患？

近日，安云科技的技術(shù)人員對(duì)市民常用的網(wǎng)站進(jìn)行監(jiān)控，發(fā)現(xiàn)某酒店官網(wǎng)存在安全漏洞?！拔覀儾粫?huì)直接入侵酒店網(wǎng)站，但是我們可以模擬網(wǎng)站的漏洞環(huán)境，搭建類似的網(wǎng)站，導(dǎo)入海量的模擬用戶信息。在這個(gè)實(shí)驗(yàn)環(huán)境下，看看類似網(wǎng)站是否存在用戶信息泄露的風(fēng)險(xiǎn)。”

工程師在模擬網(wǎng)站注冊(cè)了會(huì)員，登錄后開始尋找網(wǎng)站邏輯漏洞。工程師發(fā)現(xiàn)一個(gè)可利用的漏洞后，用特殊技術(shù)搭建了一個(gè)查詢對(duì)話框，在對(duì)話框中輸入“王”二字，跳出了26萬多條會(huì)員信息。

工程師用弱密碼123456破解，現(xiàn)場(chǎng)提取了1000名王興會(huì)員的信息，包括姓名、手機(jī)號(hào)、身份證號(hào)、積分、會(huì)員卡號(hào)?！拔矣玫氖瞧胀ǖ?23456密碼，我可以得到這么多人的信息。在使用了更先進(jìn)的攻擊和破解技術(shù)后，工程師們獲得了網(wǎng)站所有成員的數(shù)據(jù)，多達(dá)數(shù)十萬?！?/p>

一些購物網(wǎng)站也未幸免，工程師發(fā)現(xiàn)了一個(gè)存在安全隱患的購物網(wǎng)站。工程師按照同樣的方法，搭建了一個(gè)一模一樣的虛擬網(wǎng)站，輸入了十幾行代碼，半小時(shí)后成功獲得了虛擬網(wǎng)站的管理員權(quán)限?！拔页闪司W(wǎng)站的管理員。登錄后可以隨便看網(wǎng)上會(huì)員信息、產(chǎn)品訂單、數(shù)據(jù)庫備份等信息?！?/p>

在一款有漏洞的手機(jī)APP上，工程師經(jīng)過一番探索，發(fā)現(xiàn)這個(gè)漏洞主要存在于信息查詢功能上。在記者的見證下，工程師在模擬APP中輸入了“張敏”，查出了用戶的地址、電話和身份證號(hào)。然后工程師輸入了一系列亂碼，屏幕上出現(xiàn)了APP中所有用戶的地址、電話、身份證號(hào)。

“這個(gè)亂碼就是我們分析的程序漏洞，相當(dāng)于匹配一把鑰匙開別人家。輸入后，所有信息都可以看到。這個(gè)漏洞存在于具有信息查詢功能的對(duì)話框中，比如熟悉的快遞網(wǎng)站首頁，輸入運(yùn)單號(hào)查詢物流信息。如果物流網(wǎng)站有這樣的邏輯漏洞，被黑了之后，大家的物流信息都會(huì)泄露?！惫こ處熣f。

測(cè)試400個(gè)網(wǎng)站60個(gè)存重大漏洞

據(jù)安云科技介紹，最近Struts2已經(jīng)暴露出高風(fēng)險(xiǎn)漏洞，黑客可以利用這些漏洞實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。這種脆弱性引起了業(yè)界的廣泛關(guān)注。

什么是Struts2？“相當(dāng)于網(wǎng)站建設(shè)的框架，廣泛應(yīng)用于大型互聯(lián)網(wǎng)企業(yè)、政府、金融機(jī)構(gòu)等的網(wǎng)站建設(shè)。任何用這個(gè)框架構(gòu)建的網(wǎng)站都有這個(gè)漏洞。在我們監(jiān)控的400家網(wǎng)站中，不幸招到了60家?！惫こ處熃榻B。

安云科技發(fā)現(xiàn)某政府信息網(wǎng)存在這個(gè)漏洞，技術(shù)人員利用這個(gè)漏洞成功獲得了網(wǎng)站的最高ROOT權(quán)限?！斑@個(gè)權(quán)限等于開發(fā)者的權(quán)限。如果黑客有這個(gè)權(quán)限，他可以為所欲為，更改網(wǎng)站的網(wǎng)頁數(shù)據(jù)，或者下載所有數(shù)據(jù)庫。”

安云科技還對(duì)高校網(wǎng)站進(jìn)行了安全測(cè)試，收集了243所高校的官網(wǎng)數(shù)據(jù)，從業(yè)務(wù)安全、隱私安全、應(yīng)用安全、主機(jī)安全、網(wǎng)絡(luò)安全五個(gè)維度進(jìn)行綜合評(píng)分。其中，80所大學(xué)被評(píng)為“好”，103所被評(píng)為“尚可”，60所被評(píng)為“差”。

“可以直觀的理解，一般網(wǎng)站和差網(wǎng)站都有漏洞，給黑客一個(gè)機(jī)會(huì)?！惫こ處熣f。

安云科技也分析過醫(yī)療網(wǎng)站，其中56個(gè)評(píng)為“好”，8個(gè)評(píng)為“尚可”，4個(gè)評(píng)為“差”。

“在實(shí)際攻擊中，黑客在一個(gè)網(wǎng)站上獲得個(gè)人密碼后，還可以把密碼等個(gè)人信息帶到其他網(wǎng)站上分析庫。通過從多個(gè)網(wǎng)站獲得的信息，經(jīng)過關(guān)聯(lián)和比較，可以進(jìn)行個(gè)人信息。更細(xì)致的還原?！卑苍瓶萍己?jiǎn)介。

七成信息泄露，來自黑客攻擊

近日，360互聯(lián)網(wǎng)安全中心發(fā)布了《2016年中國網(wǎng)站安全漏洞態(tài)勢(shì)分析報(bào)告》。報(bào)告顯示，2016年，360網(wǎng)站安全檢測(cè)平臺(tái)共掃描各類網(wǎng)站197.9萬個(gè)，發(fā)現(xiàn)漏洞網(wǎng)站91.7萬個(gè)，占比46.3%，略低于2015年。雖然易受攻擊的網(wǎng)站數(shù)量有所減少，但高風(fēng)險(xiǎn)漏洞的數(shù)量卻顯著增加，這表明極少數(shù)網(wǎng)站存在大量高風(fēng)險(xiǎn)漏洞。網(wǎng)站的高風(fēng)險(xiǎn)漏洞激增，導(dǎo)致大量信息被泄露。

上游黑客獲取信息，下游信息經(jīng)銷商轉(zhuǎn)手買賣，個(gè)人信息銷售形成了產(chǎn)業(yè)鏈，類似的交易每天都在發(fā)生。騰訊CEO馬引用公安部門的數(shù)據(jù)稱，目前中國有150多萬非法互聯(lián)網(wǎng)從業(yè)人員，黑市規(guī)模已達(dá)1000億元。

山東信息網(wǎng)絡(luò)安全協(xié)會(huì)專家張朝倫表示，網(wǎng)絡(luò)信息泄露的原因有兩個(gè):外部攻擊和內(nèi)部竊取?！皬男畔⑿孤妒录l(fā)生的概率來看，外部攻擊占70%。對(duì)于外部攻擊者來說，最重要的手段是發(fā)現(xiàn)和利用信息系統(tǒng)中的漏洞。”

“知名互聯(lián)網(wǎng)公司技術(shù)團(tuán)隊(duì)龐大，技術(shù)水平高，在個(gè)人信息保護(hù)方面做得很好。還有一些企業(yè)網(wǎng)站，由于數(shù)據(jù)管理意識(shí)薄弱，數(shù)據(jù)庫安全技術(shù)水平差，很容易泄露信息?！睆埑瘋愓f。

張朝倫認(rèn)為，相關(guān)監(jiān)管部門需要盡快規(guī)范企業(yè)網(wǎng)站的開發(fā)安全標(biāo)準(zhǔn)，加大安全技術(shù)人員的培訓(xùn)力度?！皣倚枰贫ㄒ粋€(gè)統(tǒng)一的標(biāo)準(zhǔn)。不符合標(biāo)準(zhǔn)的網(wǎng)站不能運(yùn)行，要按照標(biāo)準(zhǔn)進(jìn)行監(jiān)控和整改?，F(xiàn)在專業(yè)的安全開發(fā)者比較緊缺，需要加快相關(guān)專業(yè)的設(shè)置和人才培養(yǎng)?！?/p>