浙江在线总站 | 衢州支站 | 柯城区 | 衢江区 | 龙游 | 江山 | 常山 | 开化
新闻热线:0570-8880896   在线投稿:qzpdnews@163.com   QQ爆料:1318233615
您当前的位置:浙江在线 > 衢州频道 > 新闻频道 > 社会新闻
2014年网上信息泄露事件:130万考研用户信息被贱卖
浙江在线衢州频道 时间: 2014-12-26 09:16:02
 

  2014年网上信息泄露事件回顾

  在即将过去的2014年,大大小小的个人信息泄露事件频发,信息安全问题比以往任何一个年份都更为突出。越来越多的公民个人信息成为不法分子争抢的“香饽饽”,要么被直接出卖非法获利,要么被犯罪分子利用,从事电信诈骗、非法讨债甚至绑架勒索等犯罪活动。

  也正是这些信息泄漏事件的切肤之痛,让更多的网民对信息安全有了更直接、更深刻的认识,安全上网的呼声也越来越高。

  职称英语考试考生信息"裸奔"

  临近年底,各地2015年职称英语考试的报名工作已陆续启动。想起今年年初报考2014年职称英语的遭遇,北京的白先生仍感烦恼。

  今年2月,白先生和同事一起在人事考试中心官方网站报名参加2014年职称英语考试,“报名第二天,我就收到了铺天盖地的短信和电话。”这些短信电话都在兜售今年职称英语考试“真题”和答案,一天之内多达十几次。白先生的手机满屏幕皆是“独家提供原题”、“零基础通过考试”、“过关再付款”等字眼。更令人惊诧的是,他曾接到一些推销电话,接通后对方叫出了自己的名字,还知道自己的考试类别和工作单位。

  记者曾在新浪微博以“职称英语个人信息”为关键词进行搜索,发现北京、甘肃、陕西、江苏、山东等地许多网友上传截图,吐槽被这类短信电话缠身。一名宁波考生竟收到来自本地、安徽、黑龙江等多地的卖题短信。许多考生感叹,报个职称考试,个人信息居然也会“裸奔”,可疑、可怕又可气。

  携程网信息安全门事件

  业界颇具影响力的乌云漏洞平台今年3月22日晚间发布消息称,携程系统存技术漏洞,可导致用户个人信息、银行卡信息等泄露。漏洞泄露信息包括用户姓名、身份证号、银行卡类别、银行卡卡号、银行卡cvv(信用卡背面的三位数安全码)码等。这意味着,一旦这些信息被黑客窃取,在网络上盗刷银行卡消费都将易如反掌。

  作为国内在线旅游市场份额最大的服务商,携程的日均酒店预订、票务预订等业务量以十万计。像携程一样愈发融入公众生活的电商网站越来越多。有过网购经历者知道,使用这些网站的前提是“注册”,而注册用户一定要填写诸多个人信息,支付也多半是刷卡完成的。出现在携程上的漏洞,很容易让人们对所有的电商网站的安全性产生怀疑。

  小米800万用户数据泄露

  5月13日晚间,有爆料称小米论坛用户数据库疑似泄露,涉及用户约800万。经乌云漏洞报告平台证实,小米数据库已在网上公开传播下载,与小米官方数据吻合。

  在得知这一消息后,小米手机用户孟卓立即下载上述数据库进行比对。“不看不知道,一看吓一跳!我以前删除过的短信,竟然都在小米云里面。”

  据安全专家分析,小米论坛官方数据库泄露,涉及800万使用小米手机、MIUI系统等小米产品的用户。泄露数据带有大量用户资料,可被用来访问小米云服务并获取更多的私密信息。甚至可通过同步获得通讯录、短信、照片、定位、锁定手机及删除信息等。

  360安全专家安扬说:“从网络流传的小米数据库判断,数据库中的密码数据使用了保护措施,黑客还原明文密码的概率约为70%—80%,简单密码容易被破解。此外,疑似小米的泄露数据还带有用户资料,可能被不法分子利用进行诈骗。”

  快递官网遭入侵,1400万条用户信息被转卖

  8月12日,有消息称,多家快递网站因存在漏洞遭黑客入侵,有1400万条个人信息在网络上被层层转卖。

  消息称,今年3月起有快递企业发现大量该公司快递单信息在网上被叫卖。随后警方调查发现,这些信息以图片格式存在,上面除了有快递编码外,还详细记录着收货和发货双方的姓名、电话号码、住址等个人隐私信息。

  根据警方调查,上述个人信息是由黑客恶意通过快递公司网站漏洞获取。据犯罪嫌疑人交待,其通过网站漏洞登录网站后台,然后再通过上传(后门)工具就能获取该网站数据库的访问权限,进而得到这些个人信息。犯罪嫌疑人表示,如果某个快递公司网站存在漏洞,20秒就可以拿到这些数据。警方共从犯罪嫌疑人电脑中查获了1400万条个人信息。

  信息泄露事件背后往往是一条完整的利益链条,这些个人隐私最终成为不良商家牟利的工具。在上述事件中,有人从该犯罪嫌疑人处购买1400万条个人信息仅花费1000余元。

  130万考研用户信息被泄露

  10月31日考研报名结束后不久,网络上就公然出售考生信息。记者以购买者身份与信息发布者取得联系后,对方称:“打包出售全部名单(包括手机号码、毕业学校等)只要15000元,保真,物美价廉。”

  南京市大四学生小周最近很困惑,“报考研究生刚刚现场确认完,我就收到一条短信,内容如下:惊喜一下,您报考的研究生资料审核通过,请与蒋主任联系领取一次免担忧轻松过!我们是你的最佳选择,qq:29972251‘太奇教育’。”

  小周告诉记者,收到这个信息,他感觉“整个人都不好了”。他报名期间只和工作人员交流过,且交完表就走了,“为什么会出现这种情况呢?信息从哪里泄露的呢?”

  无独有偶,大四学生张强也收到了来自“蒋主任”的短信,她说:“蒋主任是个‘名人’,我们宿舍4个同学一起考研,大家都在第一时间收到了来自‘太奇教育’蒋主任的‘问候’。”

  东航被曝系统漏洞或致大量用户订单信息泄露

  乌云漏洞在12月2日晚间公开了一个关于东方航空大量用户订单信息泄露的漏洞。资深航空从业人士指出,这样的漏洞会导致关于旅客姓名、手机号以及航班信息等资料外泄。“近期航班短信诈骗频发,如果这些重要信息被不法分子拿到,后果不堪设想。”

  据悉,今年8月份在乌云平台,东航被曝SQL注入漏洞大量乘客信息泄露。帖子中发现这一漏洞的白帽黑客当时曾这样表述:“乘客信息惨不忍睹的暴露无遗。包括姓名,出生日期,护照ID,地址等等!望引起重视尽快修复! ”从公开信息看,这一漏洞随后得到了厂商的确认。

  今年8月份,有媒体报道称,乘客刘女士在航班起飞前收到这样一条短信:“东方航空尊敬的刘××(注:此处是旅客真名)旅客您好!您预订的航班因飞机故障原因导致航班已被取消,请联系客服办理免费改签或退票,改签退票都可获得东航赔付给您的200元损失,东方航空客服热线4006227003。”该短信随后被东航工作人员确认是诈骗短信。

  10月28日,微博名为“咩咩不咩”的网友发文称:“我妈妈10月24号通过12580订了一张东方航空的机票,事隔三天资料泄露,被不法分子诈骗10万元,向12580和东方航空求证也得不到任何回应,今天妈妈都差点晕死过去,我实在是难过却又不知道怎么办了,只能抱着这一点希望,求大家帮忙扩散转发,谢谢了。”

  智联招聘86万用户简历信息泄露

  同样是在12月2日,乌云网上,有网友提交了智联招聘86万用户简历信息泄露的漏洞,并于3日正式公开。乌云网显示,黑客可通过漏洞获取包括用户姓名、地址、身份证号、户口等在内的私密信息。

  随后,记者从公开的已泄露信息截图看到,被泄露的86万条用户简历信息中,包括姓名、婚姻状况、出生日期、户籍地址等十分详细的信息,并且在每条个人信息前,均标注“智联招聘”字样。

  “连简历都不放过,还能好好找工作吗?”对于此次简历泄露事件,网友大都表示担忧。网友“喻喻猫”说:“难怪最近垃圾短信那么多。”

  什么原因造成个人信息泄露多发?

  中国互联网信息中心此前发布的《2013年中国网民信息安全状况研究报告》显示,有74.1%的网民在过去半年内遇到过安全事件,总人数达4.38亿。

  个人信息泄露为何多发?究其原因是由于此类犯罪成本低、“市场需求”大,由于市场细分竞争激烈,各种各样的商业主体都需要收集公民个人信息。所以不法分子为追逐不法利益,利用互联网,通过窃取、倒卖等不法手段获得个人信息。另外,由于有利可图,一些“内鬼”将履行职责和提供服务过程中获取的公民个人信息出售、非法提供给不法商人或者犯罪团伙,牟取暴利。

  中国人民大学教育学院教授程方平说:“最近信息泄露的情况很多,很严重,大家的感受都比较明显。考生或者学生的信息数字化后,泄露的成本和难度比较低。现在,生活的方方面面都有可能泄露信息。有新闻报道称孩子玩游戏也会泄露个人信息。”

  快递咨询网首席顾问徐勇指出,信息安全事件频发,除了行业混乱、企业重视程度不够、管理不足外,也与法律制度不健全有关。据了解,我国刑法在2009年将非法买卖和获取个人信息列为刑事犯罪的新类型,并制定了相应的惩处标准。但与非法买卖个人信息的严重程度相比,我国大多数地区还没有对此类案件的立案标准,执法和处罚的力度远远不够。

  目前,我国保护个人信息的规定主要体现在行业规章制度上,或者零散地分布在部分法律法规之中,个人信息保护工作虽然已经进入“有标可依”阶段,但这些文件面临概念模糊、主体不明、处罚乏力、人才技术不足等问题,对公民个人信息保驾护航的作用也一直“形同虚设”。

  如何堵住个人信息泄露的缺口?

  加快立法,加强执法,依法保护个人信息安全,是符合世界潮流的。目前,美国、欧盟、澳大利亚、日韩等国,都已有了较完整的保护个人信息的法系。新加坡国会已经通过了个人信息保护法案,违法发送垃圾信息最高罚款100万新元(约合514万元人民币)。新加坡还成立了保护个人信息的主要机构——个人信息保护署。

  其实,针对不胜其烦的垃圾短信,11月工信部就起草了《通信短信息服务管理规定(征求意见稿)》,提出任何组织和个人未经接收者同意或者请求,不得向其发送商业性短信息,还提出违规惩罚措施,这也是保护个人信息的其中一步。

  湖南秦希燕联合律师事务所主任秦希燕建议,应尽快健全个人信息保护的民事法律规定,明确个人信息保护的责任主体,“谁收集谁保护;谁泄露谁担责”。发生个人信息被泄露的情况时,不论是主动泄露还是被动泄露,都要承担责任,才能倒逼各方切实加强信息保护意识和手段。此外,对窃取、多次泄露他人信息的个人和单位,要制订严厉的追责和处罚措施,增大违法成本。

  北京邮电大学教授李欲晓告诉记者,信息安全方面的一些法律条文还需要细化。“比如,你收到一条垃圾信息,可以起诉到法院吗?怎么确定受害者?”司法和执法层面也要紧紧跟上。最高人民法院10月份出台的司法解释指出,信息泄露最高可处50万元罚款。“但是怎么认定违法行为?目前,还没有判例出现,没有人被执行。我想,如果判例出现也会对信息安全起到推动作用。”

  北京语言大学教授谢小庆则认为,在信息泄露问题上,除了制度约束,道德培养问题不容忽视。“我们现在即使再增加10倍哪怕是100倍信息监督员的数量,还是有可能有漏网之鱼。重点在教育本身。”

  中国计算机学会信息安全专业委员会主任严明说,对数据库泄露事件,首先要明确运营商的责任。把当事企业的责任通过法规明确起来,使其努力追究攻击者责任,维护网络用户的权利。当企业发现数据泄露后做了什么,是否第一时间发出警报并采取措施?这是很重要的问题,直接体现了当事公司是否尽到了相关责任。“报警本身就是对攻击者的一种威慑。”

  其次,对恶意攻击者的责任追究也同样重要。一定要打击入侵者,否则,竞争对手都会雇黑客去攻击对方数据库。

  第三,此类信息安全事件不适用“民不告、官不究”。执法部门应主动介入、积极调查并追责,而不是非要等到立案以后才处理。(半月谈网综合新华网人民网中新网光明日报中国日报广州日报等相关报道)

 

来源: 半月谈 作者: 编辑: 姜玲菲
分享到: 浙江微博
版权和免责声明
凡注有"浙江在线·衢州频道"或电头为"浙江在线·衢州频道"的稿件,均为浙江在线独家 版权所有,未经许可不得转载或镜像;授权转载必须注明来源为"浙江在线·衢州频道",并保留"浙江在线·衢州频道"的电头。
关于我们 | 广告服务 | 法律顾问:浙江诚源律师事务所 | 版权声明 | 联系我们 | 技术支持 企业资讯
网络违法犯罪举报网站 | 12321网络不良与垃圾信息举报受理中心 | 12300电信用户申诉受理中心 | 12318全国文化市场举报网站
增值电信业务经营许可证:浙B2-20080242 | 广告经营许可证号:3300008000006 | 互联网新闻信息服务许可证:国新网3312006001 | 网络文化经营许可证:浙网文[2012]0216-022号
信息网络传播视听节目许可证:1105110 | 互联网出版许可证:新出网证(浙)字21号 | 互联网医疗保健信息服务:浙卫网审[2012]19号
工信部备案号:浙B2-20080242-1 | 广播电视节目制作经营许可证:(浙)字第57号