快遞數據庫曝漏洞 專家建議收發快遞用“化名”
- 發佈時間:2014-08-12 10:56:00 來源:中國網 責任編輯:姚慧婷
據央視《每週品質報告》,近日杭州警方破獲一起非法買賣個人資訊案件,犯罪嫌疑人利用一些快遞公司網站的低級漏洞,竊取1400余萬條用戶數據並在網上售賣,而該嫌疑人僅僅是一名在校學生,由此也引發了人們對快遞數據安全性的擔憂。
來自360網站安全檢測平臺的資訊也顯示,國內快遞公司的網站安全性普遍較差。除了央視曝光部分小型快遞公司網站存在漏洞以外,一些知名大型快遞公司的網站也頻繁出現高危漏洞,這也暴露出快遞物流等傳統行業在資訊化建設方面存在一定安全缺陷。
據白帽子反饋,申通快遞、全晨快遞、亞風快遞等公司官網以及國家郵政局快遞業務經營許可管理資訊系統,分別存在用戶快遞單資訊洩露、SQL注射、遠端代碼執行等不同類型漏洞。這些漏洞都會直接威脅用戶數據庫等敏感資料。儘管這些漏洞資訊已第一時間通報相關快遞公司,部分漏洞至今仍未得到修復。
360網站安全總監趙武表示,“比高危漏洞更可怕的是,一些快遞公司缺乏基本的安全意識,也沒有專業的安全運維團隊,無法及時發現和處理安全問題。”據介紹,保護網站數據安全的成本並不高,市面上有多家網站安全産品可供選擇,360也早在2011年就推出了免費的360網站衛士,可以防範駭客入侵攻擊。
不過由於國內網站大多只關注業務發展,對於資訊安全則沒有給予足夠重視,這也導致大量網站根本沒有進行基本的安全防護,可以被中學生或者剛學習駭客技術的“菜鳥”輕易入侵。
趙武認為,快遞業務關係到大量用戶的隱私數據,具有責無旁貸的保護義務。快遞公司應該建立嚴格的安全防護措施,主管部門也應加強對快遞公司的監督,對竊取和倒賣個人資訊的不法分子給予嚴厲的懲處。
對於普通用戶來説,由於使用快遞必須填寫個人資訊,趙武建議收發快遞最好使用一個統一的“化名”,不要把真實姓名提交給一些安全性很差的快遞公司去裸奔,這樣可以最大程度降低自己被詐騙的風險。