接到莫名其妙的推銷電話,郵箱、QQ甚至網銀密碼被盜……在網際網路時代,我們的個人資訊正在“裸奔”。到底是誰出賣了我們的資訊?近日,齊魯晚報·齊魯壹點記者聯合專注于資訊安全的技術公司——山東安雲資訊技術有限公司進行了一系列實驗。
輸入一串亂碼
用戶資訊輕易拿到
我們每天登錄的網站、愛不釋手的APP,是否潛藏著資訊洩露的風險?
近日,安雲科技的技術員對市民常用的網站進行監測,發現某酒店官網存在安全漏洞。“我們不會直接入侵該酒店網站,但可以模擬該網站的漏洞環境,搭建一個類似網站,並導入海量模擬用戶資訊,在這個實驗環境中看看,類似網站有沒有用戶資訊洩露的風險。”
工程師在模擬網站中註冊了一個會員,登錄後開始尋找網站邏輯漏洞。找到一個可利用的漏洞後,工程師通過特殊技術構建了一個查詢對話方塊,在對話方塊中輸入了“王”字,26萬餘條王姓會員資訊跳了出來。
工程師又用弱密碼123456進行破解,當場提取了1000個王姓會員的資訊,包括姓名、手機號、身份證號、積分、會員卡號。“我用的是較為常見的123456密碼,就能得到這麼多人的資訊。工程師在使用更高級的攻擊及破解技術後,則獲得了該網站所有會員的數據,多達數十萬。”
一些購物網站也沒能倖免,工程師發現一個有安全隱患的購物網站。按照同樣的方法,工程師搭建了個一模一樣的虛擬網站,輸入了十幾行代碼,半小時後成功獲得了該虛擬網站的管理員許可權。“我化身成了該網站的管理員,登錄後,網上會員資料、商品訂單、數據庫備份等資料隨便看。”
在一款有漏洞的手機APP上,經過一番探查,工程師發現,這個漏洞主要存在於資訊查詢功能上。在記者的見證下,工程師在模擬的APP中輸入“張敏”,查詢出了該用戶的住址、電話、身份證號。隨後,工程師又輸入了一串亂碼,APP中所有用戶的住址、電話、身份證號都出現在了螢幕上。
“這個亂碼就是我們分析出的程式漏洞,相當於配了一把打開別人家門的鑰匙,進去之後所有的資訊就都看見了。這種漏洞存在於具有資訊查詢功能的對話方塊中,比如大家熟悉的快遞網站首頁,輸入運單號查詢物流資訊。如果物流網站具有這種邏輯漏洞,被駭客攻擊後,所有人的物流資訊就被洩露。”該工程師説。
歡迎廣大網民為中國網山東提供新聞線索,積極投稿。中國網山東熱線電話:【0531-88556593】 投稿郵箱:zgwsdchina@126.com 中國網山東微網志:http://weibo.com/aixinqiye 微信公眾號 :sdpdchina