• <tr id="mmmmm"><small id="mmmmm"></small></tr>
    • <noscript id="mmmmm"></noscript>
      <nav id="mmmmm"></nav>
    • <tr id="mmmmm"></tr>
      <nav id="mmmmm"><sup id="mmmmm"></sup></nav>

      婷婷色婷婷开心五月,一夲道岛国无码不卡视频,日韩人妻无码bd,亚洲另类无码专区首页

      您的位置:臺(tái)灣網(wǎng)  >  經(jīng)貿(mào)  >  IT  > 正文

      網(wǎng)路黑色産業(yè)鏈調(diào)查:環(huán)環(huán)相扣的數(shù)據(jù)洩露

      2015-01-19 09:13 來源:北京晨報(bào) 字號(hào):       轉(zhuǎn)發(fā) 列印

        編者按

        在大數(shù)據(jù)和雲(yún)計(jì)算的時(shí)代,網(wǎng)際網(wǎng)路正在重構(gòu)整個(gè)製造業(yè)和服務(wù)業(yè)的運(yùn)作體系,買方和賣方的對(duì)接越來越依賴於大數(shù)據(jù),而不是實(shí)體的店面、仲介。數(shù)據(jù)庫的作用越來越重要,但安全卻難有保障。本專題中的調(diào)查試圖呈現(xiàn)網(wǎng)際網(wǎng)路數(shù)據(jù)洩露中環(huán)環(huán)相扣的鏈條,而對(duì)案例的分析則試圖呈現(xiàn)公民個(gè)人維權(quán)之難,這有賴於網(wǎng)際網(wǎng)路法治建設(shè)的推進(jìn)。

        本報(bào)記者 吳燕雨 北京報(bào)道

        天微微亮,大鳥(化名)結(jié)束了一晚上的任務(wù),他用涼水洗了一把臉,起身,去公司上班。

        在白天,他是某網(wǎng)際網(wǎng)路公司的程式員。晚上,他是網(wǎng)際網(wǎng)路論壇上活躍的“白帽子”。

        “白帽子”是業(yè)內(nèi)的俗稱,即正面駭客,他們通過識(shí)別電腦系統(tǒng)或網(wǎng)路系統(tǒng)中的安全漏洞,發(fā)出漏洞警告,從而提醒企業(yè)或其他單位在被駭客侵入前修補(bǔ)漏洞。

        由於白天工作時(shí)間不允許,大鳥只能用晚上的時(shí)間做“白帽子”的工作。這讓他很疲憊,如果進(jìn)入到了活動(dòng)狀態(tài),大鳥可能會(huì)有很長(zhǎng)一段時(shí)間都在高度緊張的精神狀態(tài)中度過。

        除了在論壇中得到被同行讚許的快感,很多時(shí)候,他們面對(duì)的是一群對(duì)漏洞不屑的人。因?yàn)槊看伪黄爻雎┒粗幔S多企業(yè)的第一反應(yīng)是“辟謠”,而不是直面問題。

        在大數(shù)據(jù)和雲(yún)計(jì)算的時(shí)代,網(wǎng)際網(wǎng)路正在重構(gòu)整個(gè)製造業(yè)和服務(wù)業(yè)的運(yùn)作體系,買方和賣方的對(duì)接越來越依賴於大數(shù)據(jù),而不是實(shí)體的店面、仲介。數(shù)據(jù)庫的作用越來越重要,但安全卻難有保障。

        或許因?yàn)槠髽I(yè)對(duì)漏洞不屑的態(tài)度,一些技術(shù)人員會(huì)警告企業(yè)——既然你不屑,我就幹一單給你看。一些技術(shù)人員拿著漏洞去要挾企業(yè),換取報(bào)酬,涉及利益巨大,一些人甚至很短時(shí)間就完成原始資本積累。白帽子是以其行為來判斷,但也有可能在某些時(shí)間裏,變成真正的駭客。

        在國(guó)內(nèi),目前逐漸形成了一些漏洞舉報(bào)的平臺(tái),如烏雲(yún)網(wǎng)、360都建立了舉報(bào)漏洞的機(jī)制,方法各不相同。國(guó)家網(wǎng)際網(wǎng)路應(yīng)急中心也建立了漏洞共用平臺(tái),每週發(fā)佈資訊安全漏洞週報(bào)。

        一些企業(yè)的態(tài)度也變得開明起來,如1月14日,特斯拉[微博]的官方訂購(gòu)平臺(tái)被白帽子發(fā)現(xiàn)漏洞,原價(jià)30萬元的預(yù)訂金,白帽子可以在後臺(tái)將之修改為一元錢。特拉斯得知後迅速修復(fù)了該漏洞,並承認(rèn)該筆訂單有效,同時(shí)還從總部郵寄了官方紀(jì)念品送給白帽子。

        21世紀(jì)經(jīng)濟(jì)報(bào)道記者通過半個(gè)月的調(diào)查,接近了多位白帽子,他們中的部分不願(yuàn)意透露真實(shí)姓名;同時(shí),21世紀(jì)經(jīng)濟(jì)報(bào)道記者也試圖從被業(yè)內(nèi)稱之為“社會(huì)學(xué)工程庫”的論壇,尋找活躍在數(shù)據(jù)買賣鏈條上的人。此外,通過分析已有的案例和司法判決,也可以探尋這個(gè)龐大黑色産業(yè)在網(wǎng)際網(wǎng)路時(shí)代日益形成的安全隱患。

        入侵

        “你不要社我啊。”這是一句從事網(wǎng)路安全程式員們的“行話”。“社”是指社會(huì)學(xué)工程庫,他們把獲取海量的個(gè)人資訊稱為社會(huì)學(xué)工程分析。

        在社工論壇上,你可以找到各式各樣的賣家和買家。他們明目張膽地買賣各種個(gè)人資訊資料,如開房資料、考研學(xué)生資料、公積金資訊等,一般都是幾十上百萬條資訊打包出售,他們將這些打包出售的數(shù)據(jù)庫俗稱為“褲子”。

        而“社”一個(gè)人,則意味著在網(wǎng)路上挖掘與這個(gè)人有關(guān)的各種資料,通過不同網(wǎng)站的海量數(shù)據(jù),破解密碼、下載資料……

        一般而言,第一步需要入侵某個(gè)網(wǎng)站的後臺(tái)系統(tǒng)。這個(gè)過程並不複雜,對(duì)一個(gè)電腦迷而言,一個(gè)剛?cè)胄械闹袑W(xué)生就可能有能力侵入一個(gè)普通網(wǎng)站。

        大鳥對(duì)我們講述了他的故事。第一次學(xué)習(xí)駭客技術(shù)是大一的暑假,他花了一個(gè)月的時(shí)間在寢室自學(xué)。不久後,就已經(jīng)可以進(jìn)入學(xué)校網(wǎng)站的後臺(tái)了。

        從這一刻開始,數(shù)據(jù)就有了被洩露的危險(xiǎn)。大鳥不會(huì)將數(shù)據(jù)下載下來用於己用,僅用來檢測(cè)網(wǎng)站是否存在漏洞,但他告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者,駭客入侵網(wǎng)站與白帽子檢測(cè)網(wǎng)站,在技術(shù)路徑上幾乎是相同的。

        大鳥不崇拜儀式感,他不喜歡稱之為戰(zhàn)鬥,但這確實(shí)是一場(chǎng)戰(zhàn)鬥,雖然戰(zhàn)利品只是為了滿足一種孩童式的好奇、對(duì)技術(shù)偏執(zhí)的渴望,但把它稱之為一場(chǎng)發(fā)生在“入侵者”與技術(shù)“看守者”之間的戰(zhàn)鬥或許並不為過。

        在大鳥的印象中,記憶最深的一次入侵行動(dòng)是他在正式做一名職業(yè)白帽子之前。那是一次比較複雜的行動(dòng)。大鳥發(fā)現(xiàn)了一家國(guó)外網(wǎng)站,對(duì)其原代碼十分感興趣,為了看到代碼,他決定“入侵”這家網(wǎng)站。

        大鳥先找擁有域名的這個(gè)人,查他的資訊,發(fā)現(xiàn)此人是外國(guó)人。因?yàn)椴皇侵袊?guó)人,所以不能掌握太多他的資訊。接下來尋找這個(gè)域名下的子域名。

        經(jīng)過分析,發(fā)現(xiàn)一些子域名放在幾臺(tái)普通VPS(Virtual Private Server 虛擬專用伺服器)上,打開幾個(gè)頁面是空的。掃了幾個(gè)端口也沒發(fā)現(xiàn)端倪,他知道從這幾臺(tái)VPS上很難找到問題,於是他決定找一下它的VPS提供商。

        如果拿到VPS提供商的許可權(quán),就可以獲取它所有VPS的許可權(quán),自然也就獲取了該域名所指向的VPS許可權(quán)。隨後他發(fā)現(xiàn)這個(gè)VPS服務(wù)商的運(yùn)維配置有一些問題,一步一步滲透下去,最終找到了該VPS提供商所有用戶控制面板的賬號(hào)密碼,最後找到了對(duì)應(yīng)人的賬戶密碼。

        拿到用戶密碼後,大鳥登陸了對(duì)方的控制面板。VPS是以控制面板進(jìn)行操作的,進(jìn)入控制面板就可以操控他伺服器上的文件,但是沒有文件打包編輯功能。最後,大鳥上傳一個(gè)了網(wǎng)頁後門,便獲得了它的代碼。

        經(jīng)過十分複雜的程式,大鳥獲取了這臺(tái)伺服器的許可權(quán),順利看到了代碼。

        或許從技術(shù)上,這並不算很難,但對(duì)於大鳥來説,這次“入侵”的複雜性遠(yuǎn)遠(yuǎn)高於技術(shù),經(jīng)過一個(gè)多月的“戰(zhàn)鬥”,看到代碼後,他選擇讓自己大睡一場(chǎng),進(jìn)入冬眠。

        竊取數(shù)據(jù)

        對(duì)於白帽子而言,發(fā)現(xiàn)了網(wǎng)站的漏洞,他的工作就接近了尾聲了。可對(duì)於黑色産業(yè)鏈(簡(jiǎn)稱“黑産”)上的人來説,任務(wù)才剛剛開始,他們的目的是拿到數(shù)據(jù),進(jìn)而轉(zhuǎn)化成金錢。

        業(yè)內(nèi)人士透露,駭客的慣用手法有很多種,但路徑上存在相似性:獲得外網(wǎng)伺服器許可權(quán)、進(jìn)入內(nèi)網(wǎng)、判斷核心業(yè)務(wù)範(fàn)圍、獲取核心業(yè)務(wù)伺服器許可權(quán),找到數(shù)據(jù)庫密碼、看到核心數(shù)據(jù)、下載核心數(shù)據(jù)、拿到最高許可權(quán)、抹掉所有痕跡。

        這是一個(gè)相對(duì)理想的操作鏈條,但並不意味所有的駭客都能完成上述步驟,比如“拿到最高許可權(quán)”並不容易,因此有些駭客下載了所有核心數(shù)據(jù),但痕跡仍被記錄。

        對(duì)於目標(biāo)的尋找,一位接近黑産的人士稱,有時(shí)是駭客主動(dòng)尋找“含金量高”的網(wǎng)站,侵入網(wǎng)站,竊取數(shù)據(jù)。這主要涉及的是一些與金錢交易有關(guān)的公共服務(wù)行業(yè),如信用卡或網(wǎng)路支付、火車票購(gòu)票網(wǎng)站、航空公司購(gòu)票系統(tǒng)、網(wǎng)路購(gòu)物網(wǎng)站等等。

        還有一些則是接受定向委託,一般委託方來自商業(yè)競(jìng)爭(zhēng)對(duì)手,需要獲得競(jìng)爭(zhēng)對(duì)手的客戶數(shù)據(jù),於是雇傭駭客。

        在進(jìn)入內(nèi)網(wǎng)時(shí),有時(shí)候駭客會(huì)直接查看對(duì)方的員工資訊是否存在洩露,或根據(jù)常用密碼top 100來進(jìn)行測(cè)試,如果順利登陸員工賬號(hào),就可以直接進(jìn)入內(nèi)網(wǎng)。

        但對(duì)於需要核心數(shù)據(jù)的駭客而言,進(jìn)入內(nèi)網(wǎng)只是第一步,接下來,駭客需要對(duì)數(shù)據(jù)進(jìn)行分析,判斷核心數(shù)據(jù)所在位置,這就需要駭客對(duì)該網(wǎng)站的業(yè)務(wù)十分熟悉,甚至熟悉程度要高於網(wǎng)站運(yùn)維人員,這樣才能判斷核心數(shù)據(jù)的子域名在哪一個(gè)IP段,進(jìn)而找到核心數(shù)據(jù)。

        當(dāng)然,時(shí)機(jī)的選擇十分重要,這一切都要在一個(gè)合適的時(shí)間裏進(jìn)行:一個(gè)網(wǎng)站流量大,看守者不容易發(fā)現(xiàn)的時(shí)間。比如,一般的社交網(wǎng)站,上午十點(diǎn)和下午三點(diǎn)比較活躍。在這樣的時(shí)間裏“拖庫”相對(duì)不易被察覺。

        “拖庫”同樣是行話,意思是將目標(biāo)數(shù)據(jù)下載下來。但在許多時(shí)候,他們並非需要經(jīng)過複雜的入侵程式獲得數(shù)據(jù)。因?yàn)樵S多人在不同的網(wǎng)站註冊(cè)資訊時(shí),會(huì)使用相同或相似的密碼。因此,這就存在利用“撞庫”的方式獲得更多的數(shù)據(jù)的可能。

        2014年底發(fā)生的12306網(wǎng)站用戶資訊洩露的事件,起初就被指是“撞庫”行為,即用戶的用戶名和密碼在其他網(wǎng)站洩露了,駭客利用其他網(wǎng)站獲得的用戶數(shù)據(jù)包,自動(dòng)登錄另一個(gè)網(wǎng)站,匹配出部分用戶資訊,形成數(shù)據(jù)庫。

        不過,即使是通過“撞庫”發(fā)生的資訊洩露,相關(guān)網(wǎng)站也難脫其責(zé),因?yàn)橹挥写嬖诎踩┒矗W(wǎng)站才可能被“撞庫”。

        目前,12306網(wǎng)站用戶資訊洩露事件發(fā)生的原因仍不明,官方仍未公佈調(diào)查進(jìn)展,網(wǎng)路也曾一度流傳出洩露不是“撞庫”行為産生用戶資訊洩露的例證。

        黑色産業(yè)鏈

        在數(shù)據(jù)被竊取之後,駭客不一定可以將這些數(shù)據(jù)銷售出去。職業(yè)“仲介”應(yīng)運(yùn)而生。黑産鏈條上,有人負(fù)責(zé)竊取數(shù)據(jù),有人專門從事分銷,尋找目標(biāo)買家或幫買家尋找駭客。

        21世紀(jì)經(jīng)濟(jì)報(bào)道記者試圖尋找這樣的人,於是在一些社工庫論壇註冊(cè),發(fā)帖“雇傭駭客”,並且尋找一些專門從事數(shù)據(jù)交易的QQ群。在QQ群搜索功能中,只要輸入“數(shù)據(jù)買賣”、“數(shù)據(jù)交易”等關(guān)鍵字就會(huì)看到有大量的活躍群,它們的名字直白簡(jiǎn)單,一般以“數(shù)據(jù)交易群”、“淘寶數(shù)據(jù)交易”等字樣為主。

        21世紀(jì)經(jīng)濟(jì)報(bào)道記者偽裝成買家進(jìn)入了其中一個(gè)交易群,並與一位聲稱可以提供“進(jìn)線數(shù)據(jù)(打進(jìn)某個(gè)電話的數(shù)據(jù))”的人進(jìn)行對(duì)接。該人士稱,自己可以拿到每個(gè)行業(yè)裏任意一家企業(yè)的進(jìn)線數(shù)據(jù)。通過進(jìn)入機(jī)房,實(shí)時(shí)監(jiān)控?fù)艽蛟摴咎?hào)碼的電話,並將其截取下來,進(jìn)行銷售。

        但陌生人的網(wǎng)路交易,確保交易安全是個(gè)難題,數(shù)據(jù)提供方可能提供假數(shù)據(jù),而數(shù)據(jù)購(gòu)買方也不希望自己的購(gòu)買行為被記錄下來。對(duì)於這些疑問,該人士稱,自己可以提供前一天的進(jìn)線數(shù)據(jù),並保證數(shù)據(jù)是一手資訊。交易的過程,需要買家先少量購(gòu)買,付錢後再工作,如果買家對(duì)第一批數(shù)據(jù)滿意,再進(jìn)行下一步更多數(shù)據(jù)的交易。

        至於交易價(jià)格,該人士説,每個(gè)行業(yè)的價(jià)格不同,21世紀(jì)經(jīng)濟(jì)報(bào)道記者問到餐飲行業(yè)的某家巨頭企業(yè),他稱這些數(shù)據(jù)價(jià)格1條10元,而這個(gè)價(jià)格稱得上是“不便宜”。

        數(shù)據(jù)交易達(dá)成的半年內(nèi),買家和數(shù)據(jù)提供商為唯一擁有者,數(shù)據(jù)商保證不會(huì)洩露給第三方。半年後,數(shù)據(jù)商就可以將數(shù)據(jù)打包銷售,但此時(shí)數(shù)據(jù)已經(jīng)大大貶值,一條的價(jià)格大概是幾毛錢。

        這時(shí)候,就産生了“二手?jǐn)?shù)據(jù)”,二手?jǐn)?shù)據(jù)一般會(huì)倒賣好幾次,基本已經(jīng)算是“公開”資訊,這樣的數(shù)據(jù)在一些社工網(wǎng)站上隨處可見。21世紀(jì)經(jīng)濟(jì)報(bào)道記者潛水幾個(gè)社工論壇多天,發(fā)現(xiàn)每天都會(huì)有幾條數(shù)據(jù)供應(yīng)帖發(fā)出,論壇用戶只需要支付幾個(gè)金幣(一金幣一元錢)的價(jià)錢就可以購(gòu)買到大量數(shù)據(jù),有的數(shù)據(jù)(如個(gè)別企業(yè)內(nèi)部通訊錄)甚至可以免費(fèi)下載。

        另外,在交易群裏,經(jīng)常出現(xiàn)一些交易請(qǐng)求,有的在尋找數(shù)據(jù)商,有的在出售數(shù)據(jù)。而在QQ群記錄中,21世紀(jì)經(jīng)濟(jì)報(bào)道記者看到其中一條資訊,涉及各公司大佬的手機(jī)號(hào)、郵箱等關(guān)鍵資訊,該數(shù)據(jù)持有者將關(guān)鍵數(shù)字抹去,留下QQ號(hào),吸引買家。

        不過,擁有這類功能的QQ群有很多,21世紀(jì)經(jīng)濟(jì)報(bào)道記者申請(qǐng)進(jìn)入數(shù)十個(gè)群,只有一個(gè)通過了請(qǐng)求。上述知情人士表示,這種情況並不意外。

        黑産鏈條上的仲介人士面貌仍模糊不清。一些接近這些人士的白帽子稱,這些人的圈子很小,有些是“老鄉(xiāng)帶老鄉(xiāng)”的方式發(fā)展。而網(wǎng)路犯罪呈現(xiàn)的一些特徵也印證了這個(gè)特徵。2014年12月6日,公安部網(wǎng)路安全保衛(wèi)局法制工作處處長(zhǎng)李菁菁在一次論壇上介紹,目前我國(guó)網(wǎng)路犯罪案件地域化明顯,比如廣西南寧QQ好友詐騙、福建安溪網(wǎng)路購(gòu)物詐騙、海南儋州網(wǎng)路中獎(jiǎng)詐騙等。

        通過中國(guó)裁判文書網(wǎng)的公開檢索也可以發(fā)現(xiàn),這些地區(qū)相關(guān)案件判決書數(shù)量明顯高於周邊地區(qū)。

        《刑法》第285條規(guī)定了非法入侵電腦資訊系統(tǒng)罪,通過已判決的司法案件也可以窺視黑産業(yè)的狀況。2014年1月1日至今,中國(guó)裁判文書網(wǎng)公佈了15份非法入侵電腦資訊系統(tǒng)罪判決書,其中除少數(shù)目的為買賣國(guó)家機(jī)關(guān)證件和事業(yè)單位印章外,大多是為非法獲取、買賣公民個(gè)人資訊。

        如,2013年3月,1986年出生的陳某和1981年出生的崔某在兩家網(wǎng)路遊戲公司的系統(tǒng)中植入木馬,下載了幾十萬條遊戲賬號(hào)及密碼,並以1.4萬元價(jià)格賣出,此後這批賬號(hào)和密碼又在網(wǎng)路“黑市”中被輾轉(zhuǎn)交易。他們分別被判處有期徒刑4年和2年,並各處3000元和2000元的罰金。

        不過,黑市上所出售的個(gè)人資訊並非都是來自非法侵入電腦系統(tǒng),有些是來自內(nèi)部人的監(jiān)守自盜,這些案例也並不少見。

        需求方

        黑産的形成在於存在強(qiáng)大的市場(chǎng)需求,參與購(gòu)買數(shù)據(jù)的最終需求者多種多樣。如,一些商業(yè)機(jī)構(gòu)是強(qiáng)大的需求方,他們?yōu)榱双@取潛在的客戶資料、了解競(jìng)爭(zhēng)對(duì)手的核心數(shù)據(jù),從而從黑市購(gòu)買數(shù)據(jù)。還有一些創(chuàng)業(yè)公司,是為了充實(shí)客戶量,製造“虛假的繁榮”,以吸引風(fēng)險(xiǎn)投資。

        一位業(yè)內(nèi)人士對(duì)21世紀(jì)經(jīng)濟(jì)報(bào)道記者分析了幾起案例,如2014年底,130萬考研考生資訊洩露。他分析稱,許多考研培訓(xùn)機(jī)構(gòu)需要這些數(shù)據(jù),進(jìn)而進(jìn)行精準(zhǔn)的市場(chǎng)推廣。

        與此同理,此前還發(fā)生過新生兒資訊洩露事件。他稱,許多母嬰保健機(jī)構(gòu)、培訓(xùn)機(jī)構(gòu)、奶粉經(jīng)銷商、玩具經(jīng)銷商等各種盈利性組織對(duì)此類資訊都有需求。

        快遞服務(wù)業(yè)同樣是被黑産盯上的“重災(zāi)區(qū)”。有白帽子對(duì)21世紀(jì)經(jīng)濟(jì)報(bào)道記者表示,快遞單號(hào)十分容易獲得,只要對(duì)網(wǎng)址進(jìn)行修改,就可以看到單號(hào)的具體資訊。而在一些交易網(wǎng)站上,快遞單號(hào)被明碼標(biāo)價(jià),幾毛錢就能買到一個(gè)單號(hào)資訊。

        這樣的案例不勝枚舉,交通、醫(yī)療、教育、金融服務(wù)、酒店業(yè)、快遞業(yè)等公共服務(wù)行業(yè)機(jī)構(gòu)都掌握了大量的用戶資訊,使之成為其上下游産業(yè)及類似機(jī)構(gòu)覬覦的目標(biāo)。

        近年來,還有創(chuàng)業(yè)公司購(gòu)買數(shù)據(jù),迅速做大客戶群,從而吸引外來投資。該人士舉例,曾遇到過一位朋友的創(chuàng)業(yè)公司,通過購(gòu)買數(shù)據(jù),讓自己的用戶數(shù)據(jù)庫看起來龐大一些。這種情況並不少見。

        企業(yè)為何“休眠”?

        在數(shù)據(jù)洩露的過程中,數(shù)據(jù)保管者有著不可推卸的責(zé)任。

        烏雲(yún)網(wǎng)合夥人鄔迪告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者,幾乎每一個(gè)網(wǎng)站都可能存在漏洞。漏洞是造成洩露的一大因素,烏雲(yún)網(wǎng)建立的初衷之一就是為了減少因漏洞造成的洩露,在洩露之前對(duì)漏洞曝光,並通知廠商及時(shí)修補(bǔ)。

        鄔迪表示,國(guó)內(nèi)企業(yè)的安全意識(shí)並不強(qiáng),一開始,很多企業(yè)在被通知漏洞後會(huì)選擇置之不理,這是造成之後資訊被洩露的原因之一。

        21世紀(jì)經(jīng)濟(jì)報(bào)道記者梳理了以往發(fā)生的資訊洩露事件,一些漏洞引起的問題反覆出現(xiàn)。

        如此前被烏雲(yún)網(wǎng)頻頻爆出漏洞的12306網(wǎng)站,並非首次出現(xiàn)用戶資訊洩露事件,漏洞卻遲遲未修復(fù)。

        再比如, 2014年3月22日,烏雲(yún)漏洞平臺(tái)發(fā)佈消息稱,攜程系統(tǒng)存在技術(shù)漏洞,可導(dǎo)致用戶個(gè)人資訊、銀行卡資訊等洩露。漏洞洩露的資訊包括用戶的姓名、身份證號(hào)碼、銀行卡類別、銀行卡卡號(hào)、銀行卡CVV碼以及銀行卡6位Bin(用於支付的6位數(shù)字)。而在此之前,攜程資訊安全漏洞事件就已經(jīng)多次發(fā)生,其中2014年1月,在被媒體指出儲(chǔ)存信用卡敏感資訊存在洩露風(fēng)險(xiǎn)時(shí),攜程網(wǎng)回應(yīng)稱採(cǎi)用的信用卡支付方式符合國(guó)際慣例。

        業(yè)內(nèi)人士分析,企業(yè)數(shù)據(jù)安全意識(shí)不強(qiáng)、懲處機(jī)制的不明是導(dǎo)致企業(yè)在漏洞發(fā)生後沒有及時(shí)修補(bǔ)的原因之一。

        另外,數(shù)據(jù)庫的設(shè)計(jì)缺陷也是數(shù)據(jù)可能洩露的原因。一位數(shù)據(jù)庫的設(shè)計(jì)人員告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者,一些公司尋找第三方設(shè)計(jì)數(shù)據(jù)庫,確實(shí)存在洩露的風(fēng)險(xiǎn)。雙方在合作之前,一般會(huì)簽署保密協(xié)議,但由於設(shè)計(jì)者可以看到客戶的核心數(shù)據(jù),因此數(shù)據(jù)是否洩露,不僅要看保密協(xié)議,還要看設(shè)計(jì)者的人品。

        一位創(chuàng)業(yè)公司的負(fù)責(zé)人告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者,公司的數(shù)據(jù)庫自己設(shè)計(jì),其考量的因素就是擔(dān)心核心用戶數(shù)據(jù)洩露。

        政府網(wǎng)站同樣是高危行業(yè),一位白帽子告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者,他們一般只去測(cè)試省級(jí)政府網(wǎng)站的漏洞,更低層級(jí)的政府網(wǎng)站漏洞甚至可能找不到負(fù)責(zé)人。有些網(wǎng)站的技術(shù)水準(zhǔn),在他們看來根本達(dá)不到採(cǎi)購(gòu)中所需耗費(fèi)的價(jià)格。

        相對(duì)樂觀的是,隨著大數(shù)據(jù)和移動(dòng)網(wǎng)際網(wǎng)路在各行各業(yè)的深入運(yùn)用,很多廠商的資訊安全意識(shí)都在提高,表現(xiàn)之一是在接收到漏洞舉報(bào)後大多會(huì)及時(shí)修補(bǔ)。而發(fā)現(xiàn)和舉報(bào)漏洞的白帽子人才市場(chǎng)一旦形成,從事黑産的人就會(huì)越來越少。

        “讓黑産上的人變成白帽子,這是未來的方向。”一位白帽子對(duì)21世紀(jì)經(jīng)濟(jì)報(bào)道記者説。

      [責(zé)任編輯: 王君飛]

      視 頻
      1. 浙江慣偷鈔票點(diǎn)煙被抓 稱“窮得只剩錢”

        浙江慣偷鈔票點(diǎn)煙被抓

          近日,浙江義烏一名男子在網(wǎng)上不斷炫富,還用百元大鈔點(diǎn)煙...

      2. 江宜樺重申徹查島內(nèi)油品市場(chǎng)

        江宜樺重申徹查島內(nèi)油品市場(chǎng)

        關(guān)注臺(tái)灣食品油事件

      股 市
      臺(tái)灣| 大陸
        臺(tái)股17日開盤漲44點(diǎn) 為8538點(diǎn)
      服務(wù)專區(qū)

      投資流程辦事指南往來手續(xù)聯(lián)繫我們Q&A

      關(guān)於我們 | 本網(wǎng)動(dòng)態(tài) | 轉(zhuǎn)載申請(qǐng) | 投稿郵箱 | 聯(lián)繫我們 | 版權(quán)申明 | 法律顧問
      京ICP證130248號(hào) 京公網(wǎng)安備110102003391
      網(wǎng)路傳播視聽節(jié)目許可證0107219號(hào)
      臺(tái)灣網(wǎng)版權(quán)所有

      婷婷色婷婷开心五月
    • <tr id="mmmmm"><small id="mmmmm"></small></tr>
      • <noscript id="mmmmm"></noscript>
        <nav id="mmmmm"></nav>
      • <tr id="mmmmm"></tr>
        <nav id="mmmmm"><sup id="mmmmm"></sup></nav>