2016年6月15日讯,几天前外媒报道,Facebook掌门人扎克伯格的社交媒体密码、数据都被盗了、被泄漏了,黑客甚至用扎克伯格自己的Twitter账号通知了扎克伯格这件事,引起网民一片哗然。
“互联网名人”扎克伯格尚且如此,广大公众的网络安全又如何呢?
今年4到5月,补天平台首页被保险漏洞霸屏:比如都邦保险爆出了16个高危漏洞,数千万保单信息里,上千万用户信息、上千万车辆事故详情存在泄露隐患;天安人寿高危漏洞下有着上千万万交易记录和数百万万用户信息;农银人寿保险则有数百万保单记录和支付信息;亚太财险上千万保单记录和数百万用户信息和支付信息;中银保险上百万保单信息和用户信息;大地财产保险上千万保单记录;恒安标准人寿保险数千万保单信息和用户信息;江泰经济保险数千万用户信息和保单信息;而涵盖了大部分保险公司信息的北京保险协会,更是不甘落后,8亿保单信息里大约有上亿用户信息存在被泄露隐患。
在另外一家著名的漏洞响应平台“乌云平台”,近期的漏洞保险也不在少数,众安保险某站源码泄露,可直接访问数据库,大量敏感信息有泄漏风险,长城人寿保险某系统存在命令执行漏洞,可能泄露数百万客户信息,华海保险某后台弱口令涉及大量用户信息。
最终,在与黑产数据贩子的聊天中,黑产“不情愿”的承认就是黑客从服务器拖库来的。技术人员和记者追问:“现在互联网这东西好是好,但忒不严实……你们这信息也是钻进保险公司里弄出来的吧?”对方回答:“嗯。”还有一位数据贩子回答询问时透露,都邦保险、泰康保险、天安财险的保单详情他手上都有,100元2000条,300元则可以买到一万条。
补天平台的工程师透露,保险公司即使发现数据被盗,并不敢声张。补天平台安全专家葛珅接受采访时告诉记者,从今年3月1日到5月24日,补天平台上72家免费注册加入的全国范围内保险公司,已发现172个有效漏洞。“我们会随时通知这些公司的运维部门、网络安全部门,希望他们能尽快修复漏洞。”
360首席反诈骗专家裴智勇博士接受记者采访时坦言,网络漏洞是不可避免的,安全编程的方法只能大大降低漏洞发生几率,但漏洞一直都会在,及时修复是唯一出路。“但是,据我们统计,95%以上的网站一年以上都不进行修复,剩下的那些只有不到5%会‘尽快’在7天内修复漏洞。金融保险类网站就算各种网站里修复率最高的了,但修复率也就32%。”
还有业内专家告诉记者,或许企业对网络安全运营的淡漠有关,目前用户信息就算因为漏洞被泄露,之后万一被不法分子用这些信息诈骗,并非是自己去直接损害用户,用户也无法取证状告网站或进行理赔。
“购买这些信息,主要被用于精准诈骗、冒名办卡透支等。”裴智勇博士告诉记者,近年来,通过电信实施的保险诈骗犯罪活动呈多发、高发态势。不法分子作案手段日益翻新,涉及面广。犯罪分子可冒用保险公司名义,利用投保人发生事故急于获得赔偿的心理,实施电信诈骗犯罪。
中国国家信息技术安全研究中心专家曹岳接受记者采访时则表示:“金融系统的数据大规模集中,但确实有些网站对漏洞可能产生的风险无所谓,但就目前的法律而言,如何制定法规,比如修复周期的规定等等,本身就是个难题。”
曹岳提醒个人在网上能少填个人信息就少填,涉及密码时分级别,不要什么都统一成一个密码,不要上乱七八糟的网站。
全球最大的漏洞响应平台,是360推出的专门征集开源建站程序漏洞,用以帮助软件公司和开发者及时推出补丁,加强网站对黑客攻击“拖库”的防范能力的漏洞响应平台。通过补天平台,大多数建站程序都能快速修复漏洞,并及时推出补丁保护网站用户的数据安全。
黑客并非都是黑的,那些用自己的黑客技术来做好事的黑客们叫“白帽黑客”,大多数的普通黑客都是挂靠在安全公司,通过检测计算机系统安全性来谋生。他们测试网络和系统的性能来判定它们能够承受入侵的强弱程度。通常,白帽子黑客攻击他们自己的系统,或被聘请来攻击客户的系统以便进行安全审查。学术研究人员和专职安全顾问就属于白帽子黑客。