携程不是个案!盘点中国互联网五大最恐怖隐私泄露事故(转)

访客:25279  发表于:2014-05-15 15:04:53

一个银行支付安全漏洞,让知名旅游网站携程网成为“众矢之的”。3月22日晚间,乌云(WooYun)漏洞平台披露了一则携程网安全漏洞信息,指出携程网 支付过程中的调试信息可被任意黑客读取,导致持卡人姓名、身份证、信用卡号等信息泄露。目前,携程客服接到咨询及要求解除银行卡绑定的电话不断,而招行、 浦发等多家银行的信用卡部也在连夜为众多银行卡客户更换银行卡。

各种网络平台的蓬勃发展在带来便利的同时,也让我们和网站安全紧紧绑在一起。但是,大部分人对网络安全专业知识又不太了解,造成不良网站肆意过度收集用户信息,给网民的隐私安全埋下可怕的隐患。

而事实上,这种恐怖的个人隐私泄密事件,对中国互联网来说并非首次。今天我们一起来盘点下,中国互联网五大最恐怖的超危泄密事故。

一、360搜集用户隐私被Google抓取 上亿用户名密码外泄

2010年最后一天,普通用户在Google网站上搜索制定关键字,可以搜到大量中国互联网用户使用互联网的隐私记录,甚至包括和用户登陆网站或邮箱的用 户名、密码等。随后,多项证据表明,该事故的源头在于,360在通过其客户端秘密收集用户信息,由于这台服务器的配置问题,导致360不慎将记录了大量用 户信息的日志文件被Google收录索引,造成用户信息大规模外泄。

根据金山公司的统计,此次泄密事故共导致3亿网民面临隐私信息被窃取的风险。由于该服务器可以在互联网直接访问,可能所有被上传的用户数据都已经被各类黑客、电脑爱好者、潜在的破坏者下载。因此,造成了不可估量的损失。

而在去年11月,乌云又公布了一份360隐私漏洞信息:360一漏洞致使用户名和密码可被任意修改,该漏洞危及360手机卫士、360云盘、360浏览器 云同步,并可泄露通讯录、短信、通话记录等。泄露的信息中甚至有某女明星账号。同时,爆料者还表示测试了360几个高官的邮箱,结果发现360高官并未使 用360的产品。

二、CSDN、天涯、支付宝多家网站密码外泄门

2011年12月,CSDN、多玩、世纪佳缘、走秀等多家网站的用户数据库被曝光在网络上,由于部分密码以明文方式显示,导致大量网民受到隐私泄露的威胁。

12月25日,事件继续升级,乌云漏洞平台再次爆出天涯社区4000万用户资料泄露,用户明文密码泄露。之后,天涯社区在网站上发表致歉信。

12月29日,传言当当网1200万完整用户数据已经泄露,包括用户真实姓名、注册邮箱、收货地址、电话等信息。同时,用户数据最为重要的电商领域,也不 断传出存在漏洞、用户泄露的消息,乌云报告称,支付宝用户大量泄露,被用于网络营销,泄露总量达1500万~2500万之多,泄露时间不明,里面只有支付 用户的账号,没有密码。

三、如家、七天2000万条客户开房信息遭泄露

2013年10月,如家、七天等连锁酒店被网曝有多达2000万条客户开房信息遭泄露。

据《新京报》2013年10月20日报道,10月18日,实名认证的新浪微博账户@股社区发布了一个名为“查开房”的网址。只需输入姓名或身份证号 ,即可查询到包括身份证号、生日、地址、手机号、邮箱、公司、登记日期等真实信息。

事发一周前,国内安全漏洞监测平台乌云(WooYun.org)发布报告,称多家酒店开房记录被无线上网认证管理系统供应商——浙江慧达驿站网络有限公司存储,并因系统有漏洞而存在泄露隐患。慧达驿站公司确认曾存在漏洞并已修复,并称未造成开房记录等住客个人信息泄露。

四、圆通百万快递单网上出售

2013年11月,圆通速递近百万条快递单个人信息在网络上被公开出售,网上甚至还出现了专门交易快递单号的网站,如“淘单114”“淘铺发”“淘单网” “单号吧”等。在这些网站,每个单号都被明码标价,“批发价”最低四角,俨然已成为一种“产业”。据记者调查,每天在网上交易的快递单号高达3万个左右。

犯罪分子在购买快递单信息后,即可从事不法行为。2013年3月份,家住深圳罗湖的虞峰(化名)托朋友给自己快递七部价值总计8400元的联想手机,但苦 等几日,都不见手机寄到。虞峰一查物流信息竟发现,手机已被“自己”领走。最终公安调查发现,原来,犯罪嫌疑人范某购得虞峰的信息后,立即联系制造了虞峰 的身份证件,在确认快件到达快递公司网点,尚未进入派送之时,以假证件骗过快递公司员工后,直接领走虞峰的七部手机,随后将手机变卖。

五、携程“泄密门”:过度收集用户银行卡信息

3月22日,乌云漏洞平台发布消息称,携程系统存技术漏洞,可导致用户个人信息、银行卡信息等泄露。据乌云平台称,携程将用于处理用户支付的服务接口开启 了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、 银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字),上述信息有可能被黑客所读取。

根据银联2008年发布的《银联卡收单机构账户信息安全管理标准》规定,各收单机构系统不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期等敏感账户信息。携程记录用户信用卡信息的“过度收集信息行为”,直接导致了此次信用卡读取高危危机。

一位安全领域技术高管表示,携程网本次泄密事件的严重程度远远超过CSDN泄密事件。CSDN是数据库数据泄漏,而这次是日志数据泄漏,更严重的是,日志数据里记录跟钱相关的详细数据。

评论(1)

您可以在评论框内@您的好友一起参与讨论!

    1. 冯磊 泄密可能难免,万一真发生了,企业应该启动哪些应急机制?

      回复[0] 2014/05/16 01:22

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");