资讯中心

安全报告

您当前位置:首页 » 资讯中心 » 安全报告

2017年国内机构重大信息泄露事件分析

发布日期:2018-07-18   浏览次数:1798 次   文章来源:360威胁情报中心   作者:佚名

本文主要介绍2017年媒体报道的国内政企机构发生的一些重大信息泄露事件。总体来看,互联网企业被曝出的信息泄露事件最多,影响也最大。其次是政府和事业单位网站。此外,金融、医疗等行业也有相关的信息泄露事件被曝出。

 

一、    政府及事业单位的重大信息泄露事件

(一)问题综述

2017年,国内发生了一系列的政府机构泄露信息事件。让人惊讶的是,这些事件大多是由于政府网站在政务公开环节,不必要的公开了相关人员完整的、详细的身份信息而造成的,被不当公开的信息包括完整的身份证号码,联系电话等信息。

这些信息泄露事件的发生,主要是由于有关部门的相关负责人缺乏最基本的网络安全常识,缺乏最基本的公民信息保护意识而引发的“完全不必要的网络安全事件,而与任何网络攻击技术或网站安全漏洞无关。这也不得不让我们对很多中小城市的网络安全建设水平感到担忧。我们有理由认为,类似的事情在全国各地可能非常的普遍,媒体报道出来的相关情况可能也只是冰山一角。

同时,关于政务公开、重大事件公示等必要的行政措施,与公民个人信息保护之间可能存在的矛盾问题也值得我们进行更深入的思考。表面上看,我们似乎总是可以找到一个平衡点来平衡公开公平与隐私保护之间的关系。但实际上,此类问题涉及法律法规、技术手段、公众认知、公职人员办事能力等多方面的复杂因素,很难在短时间内得到全面有效的解决。

(二)安徽江西等地部分政府网站泄露公民隐私信息

20178月,铜陵市铜官区阳光社区服务中心,在铜陵市政府信息公开网发布了《阳光社区2017孕前优生健康检查人员名单》。该名单公布了40对夫妻的姓名及检查日期,其中77人的身份证号码完整呈现,名单仅对现居住地地址做了模糊处理。而在铜官区翠湖社区发布的《2017年孕前优生检查参检人员名单》中,也完整披露了23对夫妻的姓名及检查日期。

20171010日,江西省宜春市财政局在宜春市政府信息公开网(xxgk.ycf.gov.cn)发布的《关于公布2017年会计专业技术初级资格无纸化考试宜春考区合格人员名单的通知》,也公布了相关人员详细的个人身份证号码的人员名单,910名合格考生的证书编号、准考证号、身份证号码、姓名等信息予以公开。

20171031日,江西省景德镇市政府信息公开网(xxgk.jdz.gov.cn)曾发布了《第二批大学生一次性创业补贴公示》。其中,可供公众下载的文件公布了学生姓名、完整身份证号以及联系电话等。此外,景德镇市人社局官网也可获取上述公示信息。

 

(三)重庆九龙坡区教委官网泄露上千老教师个人信息

201711月,据澎湃新闻报道,重庆市九龙坡区教育委员会官方网站同样存在多份文件泄露教师、学生个人信息的情况,当地相关部门迅速进行了整改。

九龙坡区学生资助管理中心2015821日在九龙坡区教委官网(http://www.jlpjw.gov.cn)发布《九龙坡区2015年家庭经济困难大学新生入学资助项目资助学生名单公示》。在该公开文件中,家庭经济困难大学新生的姓名、高中毕业学校、身份证号以及录取院校等信息均被公布,共计65人。

九龙坡区教委人事科201674日在九龙坡区教委官网发布了《重庆市九龙坡区教育委员会关于乡村学校从教30年教师名单公示》。这份公开文件中,九龙坡区乡村学校从教30年、20年教师的工作单位、姓名、身份证号码、参加工作时间、专业技术职务以及从业状态被完整公布,此外,这份名单人数达1655人。

九龙坡区学生资助管理中心2016824日在九龙坡区教委官网发布《九龙坡区2016年“金秋圆梦”公益资助大学贫困新生资助学生名单公示》。在该文件中,5名大学贫困新生的姓名、开卡银行、银行卡号、联系电话等个人信息被公布。

九龙坡区学生资助管理中心2016927日在九龙坡区教委官网发布的《关于2016年中央专项彩票公益金教育助学项目资助的公示》中,被资助学生的学校、本人姓名、身份证号码被公布,共计130人。

(四)石家庄政府官网大面积泄露执法人员隐私信息

201711月,澎湃新闻记者查询石家庄市人民政府官方网站(www.sjz.gov.cn信息公开一栏石家庄市行政执法监督信息平台”网页发现,该页面中行政执法公示内容涉及到石家庄下辖22个县市区政府公开的行政执法人员清单,其中,至少有桥西区、新华区、长安区、井陉矿区、正定县、平山县、无极县等16个县市区政府官网中泄露了多个部门行政执法人员的完整身份证号码和手机号码。

同样,在石家庄市桥西区人民政府官方网站石家庄桥西区行政执法公示专栏内,财政局、质监局和人社局在行政执法人员清单中完整公布了行政执法人员的姓名、单位、职务、单位性质、身份证号码和执法证号等信息。该区人防办除了公开了行政执法人员完整的身份证号码外,还公布了行政执法人员的个人手机号码,文体局则公布了行政执法人员的姓名、部门职务及个人手机号码。

二、    互联网企业重大信息泄露事件

(一)58同城数据遭遇爬虫软件

20173月,多家新闻网站曝出“58同城陷数据泄露:700元可采集网站全部简历信息”的新闻。相关报道指出,在淘宝等电商平台上,有人公开出售一些特殊的爬虫软件,这些爬虫软件可以自动抓取58同城网站上的简历数据、本地商户信息、汽车过户信息、保洁公司信息、租房联系人信息等多类信息。自2016年初开始,关于58同城的爬虫软件和相关技术讨论不断涌现,利用这些工具,一天可采集到的数据量可达10万条。

CNNVD(中国国家信息安全漏洞库)发布的关于58同城简历泄露事件的通报指出:由于58同城网站存在弱加密等设计缺欠,导致攻击者可通过访问该网站的某些数据查询接口,经过简单的解密还原,获取并关联用户关键信息,进而获取用户简历的全部信息。

这起事件的最可怕之处还不在于有多少个人信息被泄露,而在于可被用于非法窃取个人信息的黑客工具在互联网上被公开销售,这充分的说明了网络黑产交易活动的猖獗,也必将给更多网站和个人带来更大的安全威胁。

(二)优酷上亿条数据千元售卖

20174月,黑客“CosmicDark”在网上售卖从优酷窃取约的1亿用户账号,售价约2000人民币。CosmicDark称,该数据库于2016年被泄,今年才在互联网上公开暴露。但是目前尚不清楚这些数据库是如何被窃取的。

该数据库包含大量帐号的电子邮箱和解密的MD5SHA1哈希密码。CosmicDark提供的一份样本数据(552个账号)显示,大多数电子邮箱来自@163.com@qq.com@xiaonei.com。而且,有黑客资讯网站经过研究发现,样本数据中提供的加密密码已被解密,并公开暴露在互联网上。

用户帐号、密码等信息的盗窃和交易活动一直是网络黑产的主要活动之一。特别是由于很多用户会使用相同的帐号和密码在多个网站上进行注册,常用邮箱也经常被用于各种不同网络应用的注册,所以一旦有某些知名网站或邮箱发生大规模帐号密码泄露事件,就会引发一系列的连锁反应,进而导致更大规模的帐号信息泄露。

(三)50名小红书用户被骗88

据媒体报道,截至2017531日,先后有50名“假冒小红书客服诈骗”的受害者向中国青年报求助,这些受害者因在手机应用“小红书”上网购后遭遇假冒客服而被骗,累计受骗金额高达近88万元。据报道,这些用户在小红书上网购之后,都接到自称是“小红书客服”的电话。假冒客服以客户购买的商品存在质量问题而需要退款为由实施诈骗。

据统计,50名受骗者受骗总金额为879163.58元,受骗1万元以下的有25人,受骗1万~2万元的有11人,受骗2万~3万元的有4人,受骗3万~4万元的有3人,受骗4万~5万元的有4人,5万元以上的有3人,最多的一人被骗9.13万元。

事实上,退款诈骗是近年来非常流行的一种因网购信息泄露而引发的网络诈骗。骗子冒充客服,能够准确的说出受害者的网购信息,因此很据迷惑性。随后,骗子再通过发送虚假登陆的钓鱼网站或诱骗受害者主动转账等方式,诈骗受害者钱财。这种情况在其他电商主流电商平台上也时有发生。

三、    医疗卫生系统重大信息泄露事件

20174月,浙江松阳警方侦破一起特大侵犯公民个人信息案件,查获非法获取的各类公民个人信息7亿余条,共370G的电子数据。抓获犯罪嫌疑人20名,其中查获2名入侵相关信息系统的网络黑客。

经查,犯罪嫌疑人王某于20162月入侵某部委的医疗服务信息系统,将该系统数据库内的部分公民个人信息导出进行贩卖。

而李某则于20169月侵入某省扶贫网站,下载系统内大量公民个人信息数据贩卖,这些被贩卖的数据辗转又卖给了台湾等诈骗团伙。

上一条:没有了
下一条:《2016中国网络安全报告》发布