攜程不是個(gè)案！盤點(diǎn)中國(guó)互聯(lián)網(wǎng)五大最恐怖隱私泄露事故

一個(gè)銀行支付安全漏洞，讓知名旅游網(wǎng)站攜程網(wǎng)成為“眾矢之的”。3月22日晚間，烏云(WooYun)漏洞平臺(tái)披露了一則攜程網(wǎng)安全漏洞信息，指出攜程網(wǎng)支付過(guò)程中的調(diào)試信息可被任意黑客讀取，導(dǎo)致持卡人姓名、身份證、信用卡號(hào)等信息泄露。目前，攜程客服接到咨詢及要求解除銀行卡綁定的電話不斷，而招行、浦發(fā)等多家銀行的信用卡部也在連夜為眾多銀行卡客戶更換銀行卡。

各種網(wǎng)絡(luò)平臺(tái)的蓬勃發(fā)展在帶來(lái)便利的同時(shí)，也讓我們和網(wǎng)站安全緊緊綁在一起。但是，大部分人對(duì)網(wǎng)絡(luò)安全專業(yè)知識(shí)又不太了解，造成不良網(wǎng)站肆意過(guò)度收集用戶信息，給網(wǎng)民的隱私安全埋下可怕的隱患。

而事實(shí)上，這種恐怖的個(gè)人隱私泄密事件，對(duì)中國(guó)互聯(lián)網(wǎng)來(lái)說(shuō)并非首次。今天我們一起來(lái)盤點(diǎn)下，中國(guó)互聯(lián)網(wǎng)五大最恐怖的超危泄密事故。

一、360搜集用戶隱私被Google抓取 上億用戶名密碼外泄

根據(jù)金山公司的統(tǒng)計(jì)，此次泄密事故共導(dǎo)致3億網(wǎng)民面臨隱私信息被竊取的風(fēng)險(xiǎn)。由于該服務(wù)器可以在互聯(lián)網(wǎng)直接訪問(wèn)，可能所有被上傳的用戶數(shù)據(jù)都已經(jīng)被各類黑客、電腦愛(ài)好者、潛在的破壞者下載。因此，造成了不可估量的損失。

而在去年11月，烏云又公布了一份360隱私漏洞信息：360一漏洞致使用戶名和密碼可被任意修改，該漏洞危及360手機(jī)衛(wèi)士、360云盤、360瀏覽器云同步，并可泄露通訊錄、短信、通話記錄等。泄露的信息中甚至有某女明星賬號(hào)。同時(shí)，爆料者還表示測(cè)試了360幾個(gè)高官的郵箱，結(jié)果發(fā)現(xiàn)360高官并未使用360的產(chǎn)品。

二、CSDN、天涯、支付寶多家網(wǎng)站密碼外泄門

2011年12月，CSDN、多玩、世紀(jì)佳緣、走秀等多家網(wǎng)站的用戶數(shù)據(jù)庫(kù)被曝光在網(wǎng)絡(luò)上，由于部分密碼以明文方式顯示，導(dǎo)致大量網(wǎng)民受到隱私泄露的威脅。

12月25日，事件繼續(xù)升級(jí)，烏云漏洞平臺(tái)再次爆出天涯社區(qū)4000萬(wàn)用戶資料泄露，用戶明文密碼泄露。之后，天涯社區(qū)在網(wǎng)站上發(fā)表致歉信。

12月29日，傳言當(dāng)當(dāng)網(wǎng)1200萬(wàn)完整用戶數(shù)據(jù)已經(jīng)泄露，包括用戶真實(shí)姓名、注冊(cè)郵箱、收貨地址、電話等信息。同時(shí)，用戶數(shù)據(jù)最為重要的電商領(lǐng)域，也不斷傳出存在漏洞、用戶泄露的消息，烏云報(bào)告稱，支付寶用戶大量泄露，被用于網(wǎng)絡(luò)營(yíng)銷，泄露總量達(dá)1500萬(wàn)～2500萬(wàn)之多，泄露時(shí)間不明，里面只有支付用戶的賬號(hào)，沒(méi)有密碼。

三、如家、七天2000萬(wàn)條客戶開(kāi)房信息遭泄露

2013年10月，如家、七天等連鎖酒店被網(wǎng)曝有多達(dá)2000萬(wàn)條客戶開(kāi)房信息遭泄露。

據(jù)《新京報(bào)》2013年10月20日?qǐng)?bào)道，10月18日，實(shí)名認(rèn)證的新浪微博賬戶@股社區(qū)發(fā)布了一個(gè)名為“查開(kāi)房”的網(wǎng)址。只需輸入姓名或身份證號(hào)，即可查詢到包括身份證號(hào)、生日、地址、手機(jī)號(hào)、郵箱、公司、登記日期等真實(shí)信息。

事發(fā)一周前，國(guó)內(nèi)安全漏洞監(jiān)測(cè)平臺(tái)烏云(WooYun.org)發(fā)布報(bào)告，稱多家酒店開(kāi)房記錄被無(wú)線上網(wǎng)認(rèn)證管理系統(tǒng)供應(yīng)商——浙江慧達(dá)驛站網(wǎng)絡(luò)有限公司存儲(chǔ)，并因系統(tǒng)有漏洞而存在泄露隱患。慧達(dá)驛站公司確認(rèn)曾存在漏洞并已修復(fù)，并稱未造成開(kāi)房記錄等住客個(gè)人信息泄露。

四、圓通百萬(wàn)快遞單網(wǎng)上出售

2013年11月，圓通速遞近百萬(wàn)條快遞單個(gè)人信息在網(wǎng)絡(luò)上被公開(kāi)出售，網(wǎng)上甚至還出現(xiàn)了專門交易快遞單號(hào)的網(wǎng)站，如“淘單114”“淘鋪發(fā)”“淘單網(wǎng)”“單號(hào)吧”等。在這些網(wǎng)站，每個(gè)單號(hào)都被明碼標(biāo)價(jià)，“批發(fā)價(jià)”最低四角，儼然已成為一種“產(chǎn)業(yè)”。據(jù)記者調(diào)查，每天在網(wǎng)上交易的快遞單號(hào)高達(dá)3萬(wàn)個(gè)左右。

犯罪分子在購(gòu)買快遞單信息后，即可從事不法行為。2013年3月份，家住深圳羅湖的虞峰(化名)托朋友給自己快遞七部?jī)r(jià)值總計(jì)8400元的聯(lián)想手機(jī)，但苦等幾日，都不見(jiàn)手機(jī)寄到。虞峰一查物流信息竟發(fā)現(xiàn)，手機(jī)已被“自己”領(lǐng)走。最終公安調(diào)查發(fā)現(xiàn)，原來(lái)，犯罪嫌疑人范某購(gòu)得虞峰的信息后，立即聯(lián)系制造了虞峰的身份證件，在確認(rèn)快件到達(dá)快遞公司網(wǎng)點(diǎn)，尚未進(jìn)入派送之時(shí)，以假證件騙過(guò)快遞公司員工后，直接領(lǐng)走虞峰的七部手機(jī)，隨后將手機(jī)變賣。

五、攜程“泄密門”：過(guò)度收集用戶銀行卡信息

3月22日，烏云漏洞平臺(tái)發(fā)布消息稱，攜程系統(tǒng)存技術(shù)漏洞，可導(dǎo)致用戶個(gè)人信息、銀行卡信息等泄露。據(jù)烏云平臺(tái)稱，攜程將用于處理用戶支付的服務(wù)接口開(kāi)啟了調(diào)試功能，使部分向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。漏洞泄露的信息包括用戶的姓名、身份證號(hào)碼、銀行卡類別、銀行卡卡號(hào)、銀行卡CVV碼(即卡號(hào)、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)以及銀行卡6位Bin(用于支付的6位數(shù)字)，上述信息有可能被黑客所讀取。

根據(jù)銀聯(lián)2008年發(fā)布的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》規(guī)定，各收單機(jī)構(gòu)系統(tǒng)不得存儲(chǔ)銀行卡磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼(PIN)及卡片有效期等敏感賬戶信息。攜程記錄用戶信用卡信息的“過(guò)度收集信息行為”，直接導(dǎo)致了此次信用卡讀取高危危機(jī)。

一位安全領(lǐng)域技術(shù)高管表示，攜程網(wǎng)本次泄密事件的嚴(yán)重程度遠(yuǎn)遠(yuǎn)超過(guò)CSDN泄密事件。CSDN是數(shù)據(jù)庫(kù)數(shù)據(jù)泄漏，而這次是日志數(shù)據(jù)泄漏，更嚴(yán)重的是，日志數(shù)據(jù)里記錄跟錢相關(guān)的詳細(xì)數(shù)據(jù)。