谁为信息安全负责,防护待加强

2019-06-29 11:02栏目:www.55402.com
TAG:

摘要:为发烧而生的小米发生用户数据泄露,800万用户私密信息面临威胁。尽管数据遭泄露已不是新鲜事,但此次涉及用户短信、通讯录等私密信息,部分涉事用户颇为恐慌。公民个人信息泄露事件频发,令人唏嘘无奈。究竟该谁为用户数据安全负责? 小米800万用户信息泄露...

图片 12014年网上信息泄露事件回顾

:2014-05-16 09:27:00 13日晚间,腾讯微博网友爆料小米论坛用户数据库疑似泄露,涉及用户800万。乌云漏洞报告平台14日证实,小米数据库已在网上公开传播且能下载,与小米官方数据吻合。 据称,小米论坛官方数据库泄露涉及800万使用小米手机、MIUI系统等小米产品的用户。泄露数据带有大量用户资料,可被用来访问小米云服务并获取更多的隐私信息,甚至通过同步可获得通讯录、短信、照片、定位等。 目前,已有大量小米用户通过微博、论坛反馈称接到01053799231、02160544527等电话号码来电,能准确提供姓名、地址、电话号码、购买记录等,以货到付款的方式进行诈骗! 小米发布“关于小米账号安全防范公告”的官方声明,称5月13日,小米官方发现确有部分2012年8月前注册的论坛账号信息被非法窃取。经确认,只有2012年8月前注册且2012年8月后未修改密码的小米账号,有少部分可能存在风险。小米将通过短信、邮件等方式提示客户尽快修改密码。 安全专家提醒,小米及MIUI系统等用户应尽快修改小米云服务的账号及密码,避免通讯录等隐私信息再遭泄露。 泄露数据包括用户名密码等 乌云网公布信息显示,小米论坛存在用户资料泄露,涉及800万小米论坛注册用户。据漏洞报告者提供信息称,泄露数据中包含用户名、密码、邮箱、注册IP等信息。“目前得到的信息数据库在网盘中流传,虽然一再封杀但已经有人下载完毕。”乌云网称,“请大家及时修改密码,避免影响到小米云导致手机敏感信息泄露。” 据了解,因小米账户的特殊性,如果账号密码被破解,很可能影响到用户的个人数据备份,比如:通讯录、短信、照片、GPS位置信息甚至远程擦除收集数据。 乌云网还表示,曾有一些用户提到过疑似小米信息泄露的现象,或与本次泄露有直接关系。 网友@wangwei在小米社区发帖称,接到骗子电话称小米官网返利,并报出了购买记录和送货地址,于是意识到个人信息泄露了。网友@危机石还在论坛中公布出了对方伪装小米活动行骗的相关通话录音。 ■最新进展 小米称波及用户人数不到800万 小米官方发表回应称,确有部分2012年8月前注册的论坛账号信息被非法获取。对此次事件给用户带来的困扰深表歉意。 小米表示,在创业初期,论坛及依附论坛产生的账号体系都使用了第三方开源程序。2012年8月,基于安全考虑,旧论坛账号体系不再使用,小米将所有服务切换到全新的账号安全体系。 小米相关负责人表示,受到影响的用户是2012年8月份前注册,且从没有改过密码的,而且波及的用户人数不到800万。“从小米的表述上来看,是已经将 老用户迁移过去到严格加密的账号安全体系,但此前仍在原先的设备上留有痕 迹,导致被黑客突破。”国内信息安全行业人士称。对于账户被窃威胁云端信 息泄露,该人士还表示,云存储虽方便,也具有两面性,最早推出时就曾引发争议,因为少了本机安全软件这一道门槛。他建议小米社区用户及时修改密码。 相关新闻 电话被自动录音 短信、微信内容被截取咋办?下载软件要警惕 跑流量杀毒不解释 窃听大盗 潜入安卓手机 近日,有消息称一款带有窃听性质的智能手机木马“窃听大盗”正在手机中迅速传播。一旦自己的手机被植入该木马,诸如短信内容、通话记录甚至通话录音等都会被黑客监听窃取。一夜之间,电影《窃听风云》的桥段仿佛来到了寻常人的身边,我们该如何防范? 脏曝光 手机“窃听大盗”来袭 央视《新闻直播间》报道,一款面向安卓手机的木马程序“窃听大盗”正在迅速蔓延。如果手机感染了这种木马,机身内存储的短信、通话记录甚至QQ、微信的内容都会被黑客截取。更有甚者,木马会在用户打电话时自动开启录音功能,并将录音文件发送到指定的邮箱中。 去年10月,央视曝光“智能手机安全乱象”,曾专门针对监听定位软件进行报道。报道称,一些“间谍”性质的手机软件大肆收集和泄露用户的通话记录等隐私信息,给人们的信息安全带来巨大的威胁。比如在两部手机中分别安装窃听客户端和被窃听客户端,连接之后,被窃听一方的手机通讯录、短信甚至真实的通话录音等被发送到了窃听手机上。 脏调查 “窃听软件”网售火爆 据媒体报道,具有监听、窃密功能的多款“窃听软件”在网上销售火爆。记者随机试用一款软件发现,在“神不知鬼不觉”的情况下,自己的通话录音、收发的短信、精确位置等隐私信息被全部监控,其强大功能令人毛骨悚然。 据悉,这类软件的功能包括通话内容录音监听、现场环境录音监听、短信内容拦截、通话记录拦截、手机基站定位等,无论是安卓手机还是苹果手机,均可不限次数安装。软件并不是安装在自己的手机上就能监控他人,而要安装在被监控对象的手机上。记者将该软件安装到安卓手机后发现,手机桌面、软件列表都没显示这一新安装软件,手机上的杀毒软件也毫无反应。在按兜售方人员要求完成相关操作后,记者登录邮箱看到,刚才的通话录音、收发的短信及手机中完整的通讯录、记者的精确位置都已经被传到了邮箱。 脏支招 防范与查杀同样重要 手机安全专家陆兆华表示,以下三种情况都可能被植入手机窃听软件:一是手机借给陌生人,对方故意在手机上安装了这类软件。二是下载安装了来路不明的第三方软件、游戏等,也可能被植入相关窃听软件。三是误点击访问了恶意网站或扫描了不安全的二维码,可能被直接下载安装窃听软件。 “如果发现手机有大量上传网络数据等异常现象,用户就应该提高警觉。”陆兆华称,手机窃听软件的本质还是手机病毒,可通过安装第三方安全软件查杀。下载安装软件务必到具有安全检测的电子市场或是软件的官方网站直接下载。 手机安全专家万仁国建议,手机流量一旦有任何异常现象,一定要及时查杀木马病毒,同时开启防通话窃听功能,不要随意将手机借人、接受他人赠送的新手机防止手机被装窃听软件,提高自身手机安全意识。

事件回顾

摘要:近日,小米手机800万用户泄露引发广泛关注。近期发生的多起企业大规模信息泄露事故,不仅给公民个人和国家安全带来严重威胁,还将对企业发展造成重大打击。有关专家表示,大规模信息泄露事故高发期已经到来,而我国企业却普遍片面追求发展速度,安全防护水平...

     “为发烧而生”的小米发生用户数据泄露,800万用户私密信息面临威胁。尽管数据遭泄露已不是新鲜事,但此次涉及用户短信、通讯录等私密信息,部分涉事用户颇为恐慌。公民个人信息泄露事件频发,令人唏嘘无奈。究竟该谁为用户数据安全负责?

在即将过去的2014年,大大小小的个人信息泄露事件频发,信息安全问题比以往任何一个年份都更为突出。越来越多的公民个人信息成为不法分子争抢的“香饽饽”,要么被直接出卖非法获利,要么被犯罪分子利用,从事电信诈骗、非法讨债甚至绑架勒索等犯罪活动。

根据报道,一位自称为“和平”(Peace)的黑客正以5比特币价码(约合2200美元)出售1.17亿条LinkedIn登录凭证。根据得到的消息所知,这些数据源自LinkedIn于2012年遭遇的一次数据泄露事故。

    近日,小米手机800万用户泄露引发广泛关注。近期发生的多起企业大规模信息泄露事故,不仅给公民个人和国家安全带来严重威胁,还将对企业发展造成重大打击。有关专家表示,大规模信息泄露事故高发期已经到来,而我国企业却普遍片面追求发展速度,安全防护水平“瘸腿”十分严重。同时,法律法规的缺失让涉事企业免于处罚,也无法倒逼企业加强安全防护。

    小米800万用户信息泄露 涉及短信、通讯录等

也正是这些信息泄漏事件的切肤之痛,让更多的网民对信息安全有了更直接、更深刻的认识,安全上网的呼声也越来越高。

LinkedIn公司发言人Hani Durzy坦言,2012年曾被发布到网络上的650万条密码哈希值可能只是失窃信息中的一部分。“我们不清楚到底有多少密码已经流出,”Durzy在电话采访中表示。

    --企业大规模信息泄露事故频发

    13日晚间,有爆料称小米论坛用户数据库疑似泄露,涉及用户约800万。经乌云漏洞报告平台证实,小米数据库已在网上公开传播下载,与小米官方数据吻合。

职称英语考试考生信息"裸奔"

领英团队就该事件给出相关解释:

    近日,国内手机厂商小米的用户数据库在网上公开传播、下载。其中涉及800万用户的短信、通讯录、精确位置等私密信息,并能被用来访问小米云服务并获取更多信息,引发用户普遍恐慌。

    在得知这一消息后,小米手机用户孟卓立即下载上述数据库进行比对。“不看不知道,一看吓一跳!我以前删除过的短信,竟然都在小米云里面。”

临近年底,各地2015年职称英语考试的报名工作已陆续启动。想起今年年初报考2014年职称英语的遭遇,北京的白先生仍感烦恼。

“LinkedIn.com网站于2012年6月遭遇黑客攻击,当时总计1亿6737万910个账户的数据副本被LeakedSource所获得,但其中只包含邮件与密码。大家可以在我们的主站中搜索到当时泄露的LinkedIn.com数据库及大量其它信息。如果大家的个人信息也存在于该数据库中,请与我们联系,我们将免费将其从副本中移除。”

    事实上,此类事故并非首次上演。今年3月,携程网大量用户信用卡帐号、姓名、身份证号等敏感信息遭到泄露;2013年10月,多家酒店的开房信息因系统漏洞而发生泄露,2000万条开房信息在网上“裸奔”。

    据安全专家分析,小米论坛官方数据库泄露,涉及800万使用小米手机、MIUI系统等小米产品的用户。泄露数据带有大量用户资料,可被用来访问小米云服务并获取更多的私密信息。甚至可通过同步获得通讯录、短信、照片、定位、锁定手机及删除信息等。

今年2月,白先生和同事一起在人事考试中心官方网站报名参加2014年职称英语考试,“报名第二天,我就收到了铺天盖地的短信和电话。”这些短信电话都在兜售今年职称英语考试“真题”和答案,一天之内多达十几次。白先生的手机满屏幕皆是“独家提供原题”、“零基础通过考试”、“过关再付款”等字眼。更令人惊诧的是,他曾接到一些推销电话,接通后对方叫出了自己的名字,还知道自己的考试类别和工作单位。

泄露原因

    国际关系学院信息科技系副主任王标说,随着云计算、大数据技术的广泛应用,企业保存的用户数据量越来越大,大规模数据泄露的风险也越来越大,大规模信息泄露事故高发期已经到来。

    360安全专家安扬说:“从网络流传的小米数据库判断,数据库中的密码数据使用了保护措施,黑客还原明文密码的概率约为70%-80%,简单密码容易被破解。此外,疑似小米的泄露数据还带有用户资料,可能被不法分子利用进行诈骗。”

记者曾在微博以“职称英语个人信息”为关键词进行搜索,发现北京、甘肃、陕西、江苏、山东等地许多网友上传截图,吐槽被这类短信电话缠身。一名宁波考生竟收到来自本地、安徽、黑龙江等多地的卖题短信。许多考生感叹,报个职称考试,个人信息居然也会“裸奔”,可疑、可怕又可气。

早在2012年,Linkedln就已经发生过密码泄露的事件。究其原因,是因为虽然LinkedIn声称用户账户经过SHA1算法进行散列处理,但并未进行“撒盐”处理。撒盐身份管理是操作系统中进行用户口令信息管理和身份认证的方案,该方案主要包含口令管理信息生成,账户信息数据库的口令信息维护和身份认证三个部分。

    世界知名信息安全厂商赛门铁克近日发布报告称,2013年全球超过5.52亿条个人身份信息被泄露,是2012年的4倍;全球大规模信息泄露事故从2012年的1起增加到8起,每一起事故泄露的信息都超过千万。

    小米回应:部分数据确遭泄露 已弃用旧账号体系

携程网信息安全门事件

而破解最近泄漏的LinkedIn SHA1加密密码的方法也很简单:猜一个密码,生成它的SHA1哈希值,搜索泄密密码哈希数据库,寻找是否匹配,如果匹配,则该密码是一个有效密码。在使用默认的字典的情况下4小时就能破解90万常见密码。

    王标说,频发的大规模信息泄露事故不仅将为公民个人带来巨大危险,为账户盗刷、诈骗等犯罪活动打开方便之门,国家安全也很可能因此受到威胁。大规模个人信息泄露后,敌对势力可通过大数据分析,获取与国家安全有关人员的信息,摸清我国经济社会脉络。

    小米公司安全中心有关负责人回应新华社记者说,经查,确有部分2012年8月前注册的论坛账号信息被非法获取,截至目前,尚未发现可见的流量异动以及投诉报告。

业界颇具影响力的乌云漏洞平台今年3月22日晚间发布消息称,携程系统存技术漏洞,可导致用户个人信息、银行卡信息等泄露。漏洞泄露信息包括用户姓名、身份证号、银行卡类别、银行卡卡号、银行卡cvv(信用卡背面的三位数安全码)码等。这意味着,一旦这些信息被黑客窃取,在网络上盗刷银行卡消费都将易如反掌。

本次泄密事件涉及的人群范围巨大,而且黑客要是通过社会工程学的手段窃取涉密账号所涉及的同事、合作伙伴,带来的危害是十分巨大的。不仅仅是Linkedln,Facebook的安全事件也是频频爆出,我们可以通过在11年发生的这件事窥见一斑:德国法学生 Max Schrems 根据欧洲法律成功向 Facebook 要到了自己被收集的所有信息,结果他收到的是一张有 1222 个 PDF 文件的光盘,上面有他以往在 Facebook 的所有行踪,更令人吃惊的是这其中还包括了他已经删除了的信息。之后不久Facebook 又被爆出新的用户数据使用条款规定用户存储在第三方应用上的信息并不会随应用被删除。

    --企业防护“瘸腿” 法律法规缺失

    上述负责人表示,对于在2012年8月之前注册小米论坛账号,且之后未修改过密码的用户,小米公司将通过短信、邮件等方式提示其尽快修改密码。

作为国内在线旅游市场份额最大的服务商,携程的日均酒店预订、票务预订等业务量以十万计。像携程一样愈发融入公众生活的电商网站越来越多。有过网购经历者知道,使用这些网站的前提是“注册”,而注册用户一定要填写诸多个人信息,支付也多半是刷卡完成的。出现在携程上的漏洞,很容易让人们对所有的电商网站的安全性产生怀疑。

国外安全事件频发,国内此类事件也是层出不穷,要是关注我们微信号细心的读者可以发现在我们的每日安全播报中,有关密码泄露的事件是占了很大一个比例。网易邮箱涉及近5亿条的用户数据被泄露;携程系统被爆出存在技术漏洞,可导致用户个人信息、银行卡信息等泄露;小米论坛官方数据库泄露,泄露的数据带有大量用户资料,可被用来访问小米云服务并获取更多的私密信息,甚至可通过同步获得通讯录、短信、照片、定位、锁定手机及删除信息等。

    受访专家表示,国内互联网企业片面追求发展速度,不愿加大安全投入,在黑客面前不堪一击;同时,法律法规的缺失让涉事企业免于处罚,也无法倒逼企业加强安全防护。

    数据库缘何泄露?小米公司安全中心解释称,在创业初期,小米论坛及依附论坛产生的账号体系都使用了第三方开源程序,确实存在漏洞。基于安全考虑,2012年8月,小米弃用旧论坛账号体系,将所有服务(包括小米云服务、米币等)切换到全新的账号安全体系,采用业界最新安全实践方案,对所有存储数据均进行了极严格的安全加密。

 谁为信息安全负责,防护待加强。 小米800万用户数据泄露

如何防范

    “实践证明,多年前用来入侵企业网站的老技术,现在还继续好用。”国内著名“白帽”(黑客中起正面作用的)、上海碁震云计算科技有限公司CEO王琦告诉记者,并不是黑客的技术有多高,而是多年来我国企业的安全防护水平没太大进步,不少企业连一个低级入侵都防不住。

    “小米将密切关注此次安全事件动态和用户反馈,持续跟进并及时通报。”上述负责人说,小米公司将不遗余力地提升安全保障措施,包括异地登录预警、安全令牌登录等。用户登录使用重要服务(米币中心、小米云服务等)时,还会在手机端得到安全提示推送。

5月13日晚间,有爆料称小米论坛用户数据库疑似泄露,涉及用户约800万。经乌云漏洞报告平台证实,小米数据库已在网上公开传播下载,与小米官方数据吻合。

谁为信息安全负责,防护待加强。通过这件事我们可以得出一个经验教训就是:对于用户来说,即使是陈旧的泄露数据有时候也仍具价值,因为其中部分密码可能仍在为用户所使用。所以如果用户在这四年来一直没有变更密码,那么就需要立刻更改密码。

    王标说,企业往往将安全当做成本,而且是无法产生直接效益的成本。企业都在追求发展速度,而不愿意加大安全方面的投入。这次小米信息泄露就是一个典型事件。如果不是发生泄露事故,恐怕小米也没有动力加强安全防护。

    尽管此次事件中小米表态积极,部分用户并不认可。“企业发生了数据泄露事件,其责任是无法逃避的。”孟卓说,早在此事被媒体曝光之前,就已经有用户在怀疑小米数据信息泄露,但小米公司没有就此提示用户防范规避风险。

在得知这一消息后,小米手机用户孟卓立即下载上述数据库进行比对。“不看不知道,一看吓一跳!我以前删除过的短信,竟然都在小米云里面。”

从已经泄露的最常见的密码内容来看,大多人对密码的设置十分的随意,这就可能会在安全事故中遭受更多的危害。

    信息安全专家、南京翰海源信息科技有限公司CEO方兴长期为互联网企业做安全防护服务。他讲了一个真实的故事:国内某著名互联网企业被黑客窃取了大量用户信息,企业就去找黑客谈判:“你如果在网上公布,那是毁我们名誉,我们跟你'死磕’。如果你只拿去卖钱,那我们不管。”方兴说,这是目前国内企业的真实状态,只要与自身利益无关,企业就不会重视安全问题。

    网企信息安全事件频发 法律空白亟待填补

据安全专家分析,小米论坛官方数据库泄露,涉及800万使用小米手机、MIUI系统等小米产品的用户。泄露数据带有大量用户资料,可被用来访问小米云服务并获取更多的私密信息。甚至可通过同步获得通讯录、短信、照片、定位、锁定手机及删除信息等。

图片 2

    相关法律的缺失也是信息泄露事故频发的原因之一。上海理工大学电子商务与计算机法研究所所长杨坚争说,目前我国还没有一部关于个人信息安全的法律,仅靠企业的自觉性来保障信息安全是不可能实现的。

    在此次小米公司数据库泄露之前,互联网用户数据泄密的事件已经多次发生,比如携程用户数据泄露事件,导致用户支付过程中的调试信息可被黑客读取,大量用户银行卡信息泄露。此类事件的频发,凸显信息安全领域需要有更完善的法律支持和司法机关更有作为,比如当事企业的责任、司法机关的作为、事件的定性等。

360安全专家安扬说:“从网络流传的小米数据库判断,数据库中的密码数据使用了保护措施,黑客还原明文密码的概率约为70%—80%,简单密码容易被破解。此外,疑似小米的泄露数据还带有用户资料,可能被不法分子利用进行诈骗。”

LinkedIn最常用密码前10位

    杨坚争说,前几年,美国零售企业TARGET发生用户信用卡信息泄露,该企业被依法处以巨额罚款,负责人也被迫引咎辞职。近两年我国多家企业曾发生大规模数据泄露事件,却从未见哪家企业被处罚。如此一来,企业更不会在安全方面加大投入。

    中国计算机学会信息安全专业委员会主任严明说,对数据库泄露事件,首先要明确运营商的责任。因为如果运营商要淡化处理,普通个人用户隔着运营商这层关系,要提出证据难度太大了。所以,最为关键的是把当事企业的责任通过法规明确起来,使其努力追究攻击者责任,维护网络用户的权利。

快递官网遭入侵,1400万条用户信息被转卖

当密码泄露、隐私侵害的事件频频爆发的时候,如何设置一个安全的密码就显得十分的重要,要知道,一个成熟强壮的密码体系不能降低你遇到信息泄露的概率,但是能在你遇到此类事件时最大限度的减少你的损失。

    --行业自律必不可少 急需完善法律法规

    业内人士表示,在类似事件中,一些企业担心自身名誉受损,对数据泄露抱着遮遮掩掩的态度,这种心态正是网络攻击者所期望的局面,也是攻击者有恃无恐的原因之一。网企有意无意地和攻击者站在了同一方,最受伤的是网民,隐私泄露、财产损失,是最为弱势的一方。

8月12日,有消息称,多家快递网站因存在漏洞遭黑客入侵,有1400万条个人信息在网络上被层层转卖。

    受访专家建议,我国宜参照发达国家经验,采取立法与行业自律相结合的方式应对企业信息泄露问题。

    严明说,当企业发现数据泄露后做了什么,是否第一时间发出警报并采取措施?这是很重要的问题,直接体现了当事公司是否尽到了相关责任。“企业报警没有?能不能立案是公安的事,报没报警是企业的事。报警本身就是对攻击者的一种威慑。”

消息称,今年3月起有快递企业发现大量该公司快递单信息在网上被叫卖。随后警方调查发现,这些信息以图片格式存在,上面除了有快递编码外,还详细记录着收货和发货双方的姓名、电话号码、住址等个人隐私信息。

    首先,及时出台专门针对个人信息安全的法律,对企业搜集、存储用户信息的规范和责任做出明确细致的规定。在打击黑客的同时,也要严厉处罚发生信息泄露事故的企业,倒逼企业重视安全管理。

    其次,对恶意攻击者的责任追究也同样重要。安全宝CEO马杰说,在加大对企业压力的同时,一定要打击入侵者。否则,竞争对手都会雇黑客去攻击对方数据库。

根据警方调查,上述个人信息是由黑客恶意通过快递公司网站漏洞获取。据犯罪嫌疑人交待,其通过网站漏洞登录网站后台,然后再通过上传(后门)工具就能获取该网站数据库的访问权限,进而得到这些个人信息。犯罪嫌疑人表示,如果某个快递公司网站存在漏洞,20秒就可以拿到这些数据。警方共从犯罪嫌疑人电脑中查获了1400万条个人信息。

    实际上,不少国家都已出台关于个人信息保护的“严刑峻法”。今年3月,韩国专门出台防止金融领域个人信息泄露的综合法案。根据该法案,一旦发生用户信息泄露,金融机构和电商需要缴纳的罚金是以往的3倍,且没有上限,相关刑事处罚也加重至10年以下有期徒刑。

    安天实验室首席架构师肖新光认为,我国司法机关在针对网络信息安全方案的立法、执法都滞后于现实。公共安全领域,如果国家机器没有承担足够责任,那么网络企业承担的压力必然加大。

信息泄露事件背后往往是一条完整的利益链条,这些个人隐私最终成为不良商家牟利的工具。在上述事件中,有人从该犯罪嫌疑人处购买1400万条个人信息仅花费1000余元。

    其次,在完善法律法规的前提下,企业应加强对安全的重视程度,并推动建立行业自律机制。王标说,不重视安全的企业是短视的。例如携程网发生信息泄露事件后,其流量排名已从全球1000名左右狂跌至4000名开外。企业要有清醒认识,加大在安全方面的投入,并定期进行安全测评、认证。

    第三,专家建议此类信息安全事件不能适用“民不告、官不究”。严明认为,司法机关在处理这类问题时,最主要的问题是于法无据,取证、定损过程比较困难,难以查处。互联网用户数据泄密,由于涉及的人数众多,已经成为涉及到公共安全性质的事件,不能按照“民不告、官不究”的民事纠纷来看待,执法部门应主动介入、积极调查并追责,而不是非要等到立案以后才处理。(完)

130万考研[微博]用户信息被泄露

    复旦大学国际政治系副教授沈逸建议,应改变整个行业在面对安全威胁时的“一盘散沙”状态。可以采取“产业联盟”、“安全联盟”的方式形成企业间的合作机制,出台安全标准,推动企业自律,提升行业安全防护水平。

让更多人知道事件的真相,把本文分享给好友:

10月31日考研报名结束后不久,网络上就公然出售考生信息。记者以购买者身份与信息发布者取得联系后,对方称:“打包出售全部名单(包括手机号码、毕业学校等)只要15000元,保真,物美价廉。”

让更多人知道事件的真相,把本文分享给好友:

更多

南京市大四学生小周最近很困惑,“报考研究生刚刚现场确认完,我就收到一条短信,内容如下:惊喜一下,您报考的研究生资料审核通过,请与蒋主任联系领取一次免担忧轻松过!我们是你的最佳选择,qq:29972251‘太奇教育’。”

更多

小周告诉记者,收到这个信息,他感觉“整个人都不好了”。他报名期间只和工作人员交流过,且交完表就走了,“为什么会出现这种情况呢?信息从哪里泄露的呢?”

无独有偶,大四学生张强也收到了来自“蒋主任”的短信,她说:“蒋主任是个‘名人’,我们宿舍4个同学一起考研,大家都在第一时间收到了来自‘太奇教育’蒋主任的‘问候’。”

  东航被曝系统漏洞 或致大量用户订单信息泄露

乌云漏洞在12月2日晚间公开了一个关于东方航空大量用户订单信息泄露的漏洞。资深航空从业人士指出,这样的漏洞会导致关于旅客姓名、手机号以及航班信息等资料外泄。“近期航班短信诈骗频发,如果这些重要信息被不法分子拿到,后果不堪设想。”

据悉,今年8月份在乌云平台,东航被曝SQL注入漏洞大量乘客信息泄露。帖子中发现这一漏洞的白帽黑客当时曾这样表述:“乘客信息惨不忍睹的暴露无遗。包括姓名,出生日期,护照ID,地址等等!望引起重视尽快修复! ”从公开信息看,这一漏洞随后得到了厂商的确认。

今年8月份,有媒体报道称,乘客刘女士在航班起飞前收到这样一条短信:“东方航空尊敬的刘××(注:此处是旅客真名)旅客您好!您预订的航班因飞机故障原因导致航班已被取消,请联系客服办理免费改签或退票,改签退票都可获得东航赔付给您的200元损失,东方航空客服热线4006227003。”该短信随后被东航工作人员确认是诈骗短信。

10月28日,微博名为“咩咩不咩”的网友发文称:“我妈妈10月24号通过12580订了一张东方航空的机票,事隔三天资料泄露,被不法分子诈骗10万元,向12580和东方航空求证也得不到任何回应,今天妈妈都差点晕死过去,我实在是难过却又不知道怎么办了,只能抱着这一点希望,求大家帮忙扩散转发,谢谢了。”

智联招聘86万用户简历信息泄露

同样是在12月2日,乌云网上,有网友提交了智联招聘86万用户简历信息泄露的漏洞,并于3日正式公开。乌云网显示,黑客可通过漏洞获取包括用户姓名、地址、身份证号、户口等在内的私密信息。

随后,记者从公开的已泄露信息截图看到,被泄露的86万条用户简历信息中,包括姓名、婚姻状况、出生日期、户籍地址等十分详细的信息,并且在每条个人信息前,均标注“智联招聘”字样。

“连简历都不放过,还能好好找工作吗?”对于此次简历泄露事件,网友大都表示担忧。网友“喻喻猫”说:“难怪最近垃圾短信那么多。”

什么原因造成个人信息泄露多发?

中国互联网信息中心此前发布的《2013年中国网民信息安全状况研究报告》显示,有74.1%的网民在过去半年内遇到过安全事件,总人数达4.38亿。

个人信息泄露为何多发?究其原因是由于此类犯罪成本低、“市场需求”大,由于市场细分竞争激烈,各种各样的商业主体都需要收集公民个人信息。所以不法分子为追逐不法利益,利用互联网,通过窃取、倒卖等不法手段获得个人信息。另外,由于有利可图,一些“内鬼”将履行职责和提供服务过程中获取的公民个人信息出售、非法提供给不法商人或者犯罪团伙,牟取暴利。

中国人民大学[微博]教育学院教授程方平说:“最近信息泄露的情况很多,很严重,大家的感受都比较明显。考生或者学生的信息数字化后,泄露的成本和难度比较低。现在,生活的方方面面都有可能泄露信息。有新闻报道称孩子玩游戏也会泄露个人信息。”

快递咨询网首席顾问徐勇指出,信息安全事件频发,除了行业混乱、企业重视程度不够、管理不足外,也与法律制度不健全有关。据了解,我国刑法在2009年将非法买卖和获取个人信息列为刑事犯罪的新类型,并制定了相应的惩处标准。但与非法买卖个人信息的严重程度相比,我国大多数地区还没有对此类案件的立案标准,执法和处罚的力度远远不够。

目前,我国保护个人信息的规定主要体现在行业规章制度上,或者零散地分布在部分法律法规之中,个人信息保护工作虽然已经进入“有标可依”阶段,但这些文件面临概念模糊、主体不明、处罚乏力、人才技术不足等问题,对公民个人信息保驾护航的作用也一直“形同虚设”。

如何堵住个人信息泄露的缺口?

加快立法,加强执法,依法保护个人信息安全,是符合世界潮流的。目前,美国、欧盟、澳大利亚、日韩等国,都已有了较完整的保护个人信息的法系。新加坡国会已经通过了个人信息保护法案,违法发送垃圾信息最高罚款100万新元(约合514万元人民币)。新加坡还成立了保护个人信息的主要机构——个人信息保护署。

其实,针对不胜其烦的垃圾短信,11月工信部就起草了《通信短信息服务管理规定(征求意见稿)》,提出任何组织和个人未经接收者同意或者请求,不得向其发送商业性短信息,还提出违规惩罚措施,这也是保护个人信息的其中一步。

湖南秦希燕联合律师事务所主任秦希燕建议,应尽快健全个人信息保护的民事法律规定,明确个人信息保护的责任主体,“谁收集谁保护;谁泄露谁担责”。发生个人信息被泄露的情况时,不论是主动泄露还是被动泄露,都要承担责任,才能倒逼各方切实加强信息保护意识和手段。此外,对窃取、多次泄露他人信息的个人和单位,要制订严厉的追责和处罚措施,增大违法成本。

北京邮电大学[微博]教授李欲晓告诉记者,信息安全方面的一些法律条文还需要细化。“比如,你收到一条垃圾信息,可以起诉到法院吗?怎么确定受害者?”司法和执法层面也要紧紧跟上。最高人民法院10月份出台的司法解释指出,信息泄露最高可处50万元罚款。“但是怎么认定违法行为?目前,还没有判例出现,没有人被执行。我想,如果判例出现也会对信息安全起到推动作用。”

北京语言大学教授谢小庆则认为,在信息泄露问题上,除了制度约束,道德培养问题不容忽视。“我们现在即使再增加10倍哪怕是100倍信息监督员的数量,还是有可能有漏网之鱼。重点在教育本身。”

中国计算机学会信息安全专业委员会主任严明说,对数据库泄露事件,首先要明确运营商的责任。把当事企业的责任通过法规明确起来,使其努力追究攻击者责任,维护网络用户的权利。当企业发现数据泄露后做了什么,是否第一时间发出警报并采取措施?这是很重要的问题,直接体现了当事公司是否尽到了相关责任。“报警本身就是对攻击者的一种威慑。”

其次,对恶意攻击者的责任追究也同样重要。一定要打击入侵者,否则,竞争对手都会雇黑客去攻击对方数据库。

第三,此类信息安全事件不适用“民不告、官不究”。执法部门应主动介入、积极调查并追责,而不是非要等到立案以后才处理。(半月谈网综合新华网 人民网中新网光明日报 中国日报 广州日报等相关报道)

(责任编辑:梁靖雪)

版权声明:本文由永利皇宫登录网址发布于www.55402.com,转载请注明出处:谁为信息安全负责,防护待加强