央視《每周質(zhì)量報(bào)告》節(jié)目8月10日?qǐng)?bào)道稱今年3月份����,杭州市一快遞公司的負(fù)責(zé)人發(fā)現(xiàn)有人在網(wǎng)上公開買賣他們公司快遞單上的用戶信息�。
網(wǎng)絡(luò)安全專家瑞星公司唐威表示:“通常很多我們發(fā)現(xiàn)不注意安全的這種管理員的話��,他甚至是使用比如說123456�、12345678這種非常簡單的密碼,當(dāng)做后臺(tái)的密碼��。我們輸入用戶名,密碼123456���,點(diǎn)擊登錄����,OK 現(xiàn)在已經(jīng)登錄成功了���,這就說明這個(gè)網(wǎng)站是存在弱密碼這么一個(gè)漏洞的��。”
可見�����,利用管理員的身份進(jìn)入后臺(tái)�,并不等于實(shí)現(xiàn)了對(duì)整個(gè)網(wǎng)站的控制���,通常網(wǎng)站后臺(tái)只是一個(gè)內(nèi)容發(fā)布平臺(tái)�,要想獲得數(shù)據(jù)庫訪問權(quán)限�,就需要上傳一個(gè)后門工具文件。
另外��,黑客通過漏洞登陸網(wǎng)站后臺(tái),上傳后門工具�,繼而控制整個(gè)網(wǎng)站服務(wù)器,這個(gè)操作過程并不復(fù)雜��,難的是如何在前期測(cè)試出網(wǎng)站存在什么樣的漏洞�,繼而為己所用。
不過�,像弱口令、上傳漏洞這樣的漏洞其實(shí)很初級(jí)���,但是也并不少見�����,甚至有些大型網(wǎng)站的后臺(tái)登陸密碼就是一個(gè)弱口令���,而這樣低級(jí)的漏洞一旦被黑客利用,網(wǎng)站的安全就會(huì)受到威脅�����。
唐威建議:快遞公司的數(shù)據(jù)庫一定要做好定期銷毀����,并且在網(wǎng)站的搭建上應(yīng)做好安全防范工作,并對(duì)網(wǎng)站�、入口進(jìn)行全面安全檢測(cè)。“像上述案件中出現(xiàn)的密碼漏洞��、上傳漏洞等�,如果網(wǎng)站運(yùn)營負(fù)責(zé)人做過安全檢測(cè),一定能夠發(fā)現(xiàn)”�����。唐威稱�����,許多中小型物流公司對(duì)信息安全不夠重視��,因此也常常成為黑客攻擊的對(duì)象�����。物流公司應(yīng)當(dāng)做好防護(hù)工作����,并在運(yùn)營機(jī)制的設(shè)立上考慮安全性問題,如對(duì)不同的管理人員設(shè)定不同的訪問權(quán)限�。
對(duì)于泄漏快遞公司被泄漏出去的數(shù)據(jù)庫當(dāng)作了某些人的非法牟利手段���,有法律專家表示:監(jiān)管缺失是個(gè)人信息遭非法買賣的原因之一。
網(wǎng)絡(luò)安全專家還告訴央視記者�,這些犯罪分子竊取用戶個(gè)人信息的手段并不高明。那為什么我國個(gè)人信息被販賣的情況卻禁而不止��,難以解決呢�����?
據(jù)了解�,我國刑法在2009年將非法買賣和獲取個(gè)人信息列為刑事犯罪的新類型,并制定了相應(yīng)的懲處標(biāo)準(zhǔn)��。但是�,有專家還指出,同非法買賣個(gè)人信息的嚴(yán)重程度相比���,我國大多出地區(qū)還沒有對(duì)此類案件的立案標(biāo)準(zhǔn)����,執(zhí)法和處罰的力度現(xiàn)在也遠(yuǎn)遠(yuǎn)不夠���。
專家強(qiáng)調(diào)�����,非法買賣個(gè)人隱私信息的行為之所以屢禁不止還有一個(gè)原因就是其背后隱藏著完整的利益鏈條��。許多不法分子獲取個(gè)人隱私信息后有不當(dāng)?shù)美目臻g���,而這些行為的違法成本又相對(duì)較小,個(gè)人信息被濫用的情況相當(dāng)嚴(yán)重��。因此����,對(duì)濫用信息的打擊和懲處力度也是亟待解決的重要問題。
北京師范大學(xué)法學(xué)院教授劉德良說道:“垃圾電話���、騷擾短信每天都很多�,但是我國恰恰在這一塊上沒有相應(yīng)的規(guī)定��。如果國家重點(diǎn)打擊個(gè)人信息濫用行為�,這一塊被遏制了,上述利益鏈條部分環(huán)節(jié)就沒有了動(dòng)力����。”(內(nèi)容整理自京華時(shí)報(bào)��、央視新聞����、中新網(wǎng))
阿明點(diǎn)評(píng):漏洞不漏洞����,關(guān)鍵在于管理。不管是快遞公司���,還是某些專業(yè)網(wǎng)站�����,都時(shí)常會(huì)傳出漏洞事件�����。事情過去了����,似乎就平靜了��,后期的解決方案如何了���?數(shù)據(jù)庫的安全如何了���?包括對(duì)于數(shù)據(jù)安全的備份情況如何了��?這些問題,都是出事公司或單位CTO\CIO必須要考慮的�����,但是��,只要過得了一時(shí)�����,后面慢慢做吧���。
或許����,某個(gè)時(shí)候����,漏洞本身就不是新聞了���。因?yàn)槿藗兞?xí)以為常了,那又會(huì)怎樣��?沒有私密�,沒有隱私,這個(gè)世界就是一個(gè)開放自由的世界����,這不正是某些人所追求的嗎?
但是��,這樣的無規(guī)則的開放與自由��,是以騷擾或傷害大多數(shù)人為基礎(chǔ)的��。只要有一點(diǎn)點(diǎn)這樣的想法���,就是很不純潔的表現(xiàn)�。
當(dāng)然了����,對(duì)于某些好奇心很強(qiáng)的大學(xué)生,多少秒就入侵快遞公司數(shù)據(jù)庫,說來雖然牛叉�,但一定要注意:如果你真的牛叉,入侵之后就不要讓所有人發(fā)現(xiàn)�。哈哈。所以����,對(duì)于這些好奇心重,又有鉆研精神的同學(xué)來說��,我們只能嚴(yán)防死守�,做好數(shù)據(jù)安全防護(hù)�����,里三層外三層����,讓他們進(jìn)得來出不去,直接將入侵者累癱瘓���,這才是科技公司的牛叉之道�����。
因此�����,對(duì)于快遞公司數(shù)據(jù)庫漏洞的事情�,最科學(xué)、最客觀���、最理想的辦法還是主要依賴數(shù)據(jù)安全公司的舉措為是����。既然沒人能做這個(gè)事情�����,那說明這個(gè)領(lǐng)域的市場(chǎng)很大�。繉(duì)于賽門鐵克�、RSA……對(duì)于瑞星、金山�,不知道他們后續(xù)怎么行動(dòng)?
