中評社北京12月30日電/近日國內多個商業網站的用戶信息被洩露,愈演愈烈的“洩密門”中,政務網站也未能幸免於“數據裸奔”。昨天上午,網友在新浪微博揭露了廣東省公安廳出入境政務服務網網站後台存在漏洞。獲得漏洞地址的人士可以訪問2011年6月24日至昨日所有網上申請者提交的信息,共計444萬餘條。
問題一個月前就暴露
據南方都市報報道,昨日早上,知名IT人士@月光博客發布微博:“廣東省公安廳出入境政務服務網網上申請數據洩露,幾乎全部提交網上申請用戶的真實姓名、護照號碼、港澳通行證號碼遭到洩密,目前該漏洞還沒有修復。”並提供了相關信息的模糊截圖。
記者從相關人士處獲得漏洞地址http://crj.gdga.gov.cn/*******.網頁顯示是網上申請數據的列表。根據洩露網頁首頁和末頁的數據,此次洩露的信息範圍是2011年6月24日至昨日中午12:30前所有通過網站申請簽注的用戶資料,總數高達4441387條。
最新信息為昨日中午12時30分李*的申請記錄。點擊每條記錄,可看到用戶的出生年月、郵寄地址、郵編、電話、證件有效期、出境事由等信息。記者在該網頁搜索欄內輸入自己的通行證號碼,赫然發現自己下半年三次申請港澳簽注的記錄和相關的個人信息。
據記者調查,相關漏洞由一名網名為“刺刺”的程序員發現,11月29日“刺刺”將漏洞信息提供給“烏雲(WooY un)”平台,昨日早上“烏雲”將漏洞信息交由著名IT人士“@月光博客”發布。“烏雲”平台的負責人表示,11月29日收到漏洞信息後他們已交給相關部門處理,因為處理漏洞需要時間,所以他們在一個月後才公布漏洞。
程序員稱是“低級錯誤”
“@月光博客”分析,此次漏洞估計為程序設置問題,查看後台信息功能的權限控制錯誤,導致普通用戶可以繞過登錄環節,直接訪問後台頁面查看數據。
資深程序員、某電子商務網站創始人徐湘濤表示,一般來說,涉及後台數據時,每個網站的管理人員會根據職責得到不同的信息權限。在用戶數據頁面展現之前,應該有“校驗身份”的過程,相關人員登錄、通過校驗後,才能訪問後台信息。“在外網輸入網址就能查看後台數據,對程序員來說這是一個挺低級的錯誤。”
|
