多家快遞公司網站被曝存漏洞 黑客20秒破解數據庫

　　央視截圖

　　中新網8月11日電 “生了孩子，買奶粉的短信就來了；買了房，裝修的短信就沒完沒了；買了新車，保險公司的短信就鋪天蓋地。”昨日，央視曝光了一起侵犯他人隱私信息安全的案件，並稱這些垃圾短信的背後其實是我國個人隱私信息泄露的問題。

　　據央視報道，因為一些快遞公司網站存在漏洞，黑客20秒內就能獲取一個網站的個人信息數據庫。而據犯罪嫌疑人交代，1400萬條信息出售價僅1000多元，這些信息經過層層轉賣，危害無窮。有專家表示，我國個人信息被非法轉賣屢禁不止的一個原因是這方面已經形成一個完整的利益鏈條，不法分子有利可逐；另一方面就是我國對個人信息被濫用的行為監管缺失，懲處不嚴。

　　1400萬條有效個人信息被非法竊取

　　今年3月份，杭州下沙經濟開發區一家快遞公司的負責人發現，有人在網上公開買賣他們公司快遞單的上的個人信息，而且銷量還很大。

　　那這些網上出售的個人信息是怎麼來的呢？

　　據上述快遞公司的負責人介紹，“因為快遞單上的信息該公司是不允許收集的，甚至快遞單也不會當做垃圾來賣掉，一般都是集中銷毀，所以他們認為這是非法分子用其他渠道獲取的這些信息，隨即報案。”

　　據杭州市警方調查發現，確實有人在網上大量出售個人信息，這些信息以圖片格式存在，上面除了有快遞編碼外，還詳細記錄著收貨和發貨雙方的姓名、電話號碼、住址等個人隱私信息。

　　不過杭州警方發現，這些信息雖然包含個人用戶信息量比較大，但是價格卻很便宜。一條有收貨人姓名、電話、地址的有效個人信息，賣家只要五毛錢；批發的話，一個包含上萬條個人信息的數據包只賣幾百元。

　　隨後警方進行了深入調查，鎖定了犯罪嫌疑人莫某，並在其個人電腦中發現了1400萬條個人信息。據莫某交代，這1400萬條信息也是他從其他賣家處買來的，只花了1000多元。

　　多快遞公司網站存弱口令、上傳漏洞

　　那莫某的這些信息從何處買來呢？經過莫某交代，這些信息全部來源于一在校學生，找到該學生時，他甚至不知道自己已經觸犯了法律。

　　據上述學生(犯罪嫌疑人)交代，他賣的這些信息之所以很便宜，是因為他獲取這些信息很容易，幾乎沒什麼成本，而這些信息都是從一些存在漏洞的快遞公司網站上得來的。

　　上述嫌疑人告訴警方，多家快遞公司網站存在漏洞，如弱口令漏洞、上傳漏洞等，這些漏洞就是他獲取個人信息的通道。

　　犯罪嫌疑人說道，“通過漏洞就可以登錄這家網站的後臺，然後再通過上傳(後門)工具就能獲取該網站數據庫的訪問權限，進而得到這些個人信息。”“如果某個快遞公司網站存在漏洞，20秒就可以搞到這些數據。”

　　網絡安全專家告訴央視記者，黑客通過漏洞登陸網站後臺，然後上傳後門工具，進而可以控制整個網站服務器，這個過程並不復雜，難的是如何在前期測試出網站存在什麼樣的漏洞，進而為己所用。不過該專家還說道，目前網絡上不少網站都存在弱口令、上傳漏洞等，有些網站後臺密碼甚至設置成“123456”這樣簡單的數字，這很容易被不法分子獲取。

　　法律專家：監管缺失是個人信息遭非法買賣的原因之一

　　網絡安全專家還告訴央視記者，這些犯罪分子竊取用戶個人信息的手段並不高明。那為什麼我國個人信息被販賣的情況卻禁而不止，難以解決呢？

　　據了解，我國刑法在2009年將非法買賣和獲取個人信息列為刑事犯罪的新類型，並制定了相應的懲處標準。但是，有專家還指出，同非法買賣個人信息的嚴重程度相比，我國大多出地區還沒有對此類案件的立案標準，執法和處罰的力度現在也遠遠不夠。

　　專家強調，非法買賣個人隱私信息的行為之所以屢禁不止還有一個原因就是其背後隱藏著完整的利益鏈條。許多不法分子獲取個人隱私信息後有不當得利的空間，而這些行為的違法成本又相對較小，個人信息被濫用的情況相當嚴重。因此，對濫用信息的打擊和懲處力度也是亟待解決的重要問題。

　　北京師范大學法學院教授劉德良說道：“垃圾電話、騷擾短信每天都很多，但是我國恰恰在這一塊上沒有相應的規定。如果國家重點打擊個人信息濫用行為，這一塊被遏制了，上述利益鏈條部分環節就沒有了動力。”(中新網IT頻道)