個人信息的泄露,防不勝防。這次就發生在報名參加2015年全國碩士研究生招生考試的用戶身上。
2015年全國碩士研究生招生考試即將于2014年12月27日至29日舉行。就在11月25日,教育部還召開了考試安全工作視頻會議。但就在開考的前一個月,網上出現有人出售截止到2014年11月份的130萬考研用戶的信息。烏云網聯合創始人鄔迪今天接受《天下公司》采訪時說,有烏云網用戶透露,懷疑考研報名數據遭到泄露。
鄔迪:昨天我們對外預警了四六級考試官網的一個漏洞,在下面的評論里,有網友就提供了一個線索:他懷疑考研報名的這個數據庫被“脫褲”了。就是說這些報名信息被人拿走了,因為很多人都接到這種賣考題、賣答案、辦補習班的那種電話。網友說了,我們覺得這個事情很嚴重,就馬上發動了白帽子等社區力量幫我們調查。正好很巧,有個白帽子說,他在群里看到過有人在公然出售這個數據。
鄔迪剛提到的“白帽子”,簡單說就是這樣一種黑客,他可以識別計算機系統或網絡系統中的安全漏洞,但并不會惡意去利用,而是公布這個漏洞,讓系統可以在被其他人利用之前來修補漏洞。與之相反,那些研究攻擊技術非法獲取利益的,就是所謂黑帽子了。
烏云網聯合創始人孟卓表示,根據社區白帽子提供的線索,烏云網了解到,賣家所出售的數據可不光涉及到考研用戶的姓名、性別,而是包含一系列敏感數據,并且賣家已經是二道販子、三道販子,甚至更多,也就說相關信息已經被多次轉賣。
孟卓:這個數據當中包括考研者叫什么名字、性別,還有手機號碼、座機號碼、身份證號、家庭住址、郵編、學校、報考的專業等敏感信息,非常詳細。整個數量大約130萬,賣家的打包價是1萬5000。后來問,這個數據是不是獨家的?賣家說不是,這個數據很多人都有了,所以才會賣這個價格。
孟卓告訴記者,不少考研報名者已經多次接到騷擾電話:賣考題、賣答案、辦培訓班……不勝其煩。
孟卓:其實我們看到10月份的時候,有白帽子在烏云網上報過相關的這個漏洞。我們為了核實,根據一些數據也跟上面的報名者聯系,打了幾個電話,確實是報名考研的人,接過很多電話,各種被騷擾。我們打電話問的時候,有的報名者已經很不耐煩,就說你們到底要干嘛!
對信息被泄露的考生來說,目前并沒有太好的辦法規避風險,至少別輕信那些售賣考題的。烏云網聯合創始人鄔迪表示,對于數據泄露的原因,目前烏云網正在進一步調查的過程中。
鄔迪:這個泄露環節很多,比如像系統漏洞導致的泄露就是很直接的,也是網絡上的攻擊者經常用的一種,就是外部的人通過一些漏洞進去把數據庫“脫褲”,這也是烏云網上看到的最多的。另外,也有可能是內部原因比如管理不當等。我們現在只是猜測,正在調查中,還沒辦法確定到底是什么原因。
鄔迪:現在每天后臺都能看到有幾百個漏洞在提交,一般200個以上。目前的趨勢看,漏洞的數量是迅速遞增的。去年一年,我們大概收到4萬多個漏洞,前年是2萬多個,再往前是1萬多。我們最初收集到的更多的是互聯網公司的漏洞,現在這塊也比較多。過去沒有在互聯網上的一些系統,比如政府、金融的一些系統都是在局域網或者要去柜臺辦理的,但近年來,這些系統也逐漸搬到互聯網上,出了很多問題,漏洞在增加。
鄔迪說,要防范并及時彌補漏洞,并不容易。
鄔迪:一些大型的金融機構、互聯網企業等,一般有專職的安全團隊去做,但是對于普通企業,特別是互聯網金融、O2O等很多創業型公司,早期可能就是程序員、開發人員做一些業務,但現在能力上、經濟實力上或者關注點上還沒到安全這一塊,所以問題比較多,短期內也比較難解決,可能會原來越多。
來源:央廣網財經
