身份证将迎大变革 身份证将迎大变革 eID告别“证件”降低信息被盗用风险

接到莫名其妙的销售电话后，邮件、QQ甚至网银密码都被盗了……在互联网时代，我们的个人信息就是“裸奔”。到底是谁出卖了我们的信息？近日，齐鲁晚报记者齐鲁意电与专注于信息安全的科技公司山东安韵信息科技有限公司进行了一系列实验。

输入一串乱码用户信息轻易拿到

我们每天登录的网站和应用是否存在信息泄露的隐患？

近日，安云科技的技术人员对市民常用的网站进行监控，发现某酒店官网存在安全漏洞。“我们不会直接入侵酒店网站，但是我们可以模拟网站的漏洞环境，搭建类似的网站，导入海量的模拟用户信息。在这个实验环境下，看看类似网站是否存在用户信息泄露的风险。”

工程师在模拟网站注册了会员，登录后开始寻找网站逻辑漏洞。工程师发现一个可利用的漏洞后，用特殊技术搭建了一个查询对话框，在对话框中输入“王”二字，跳出了26万多条会员信息。

工程师用弱密码123456破解，现场提取了1000名王兴会员的信息，包括姓名、手机号、身份证号、积分、会员卡号。“我用的是普通的123456密码，我可以得到这么多人的信息。在使用了更先进的攻击和破解技术后，工程师们获得了网站所有成员的数据，多达数十万。”

一些购物网站也未幸免，工程师发现了一个存在安全隐患的购物网站。工程师按照同样的方法，搭建了一个一模一样的虚拟网站，输入了十几行代码，半小时后成功获得了虚拟网站的管理员权限。“我成了网站的管理员。登录后可以随便看网上会员信息、产品订单、数据库备份等信息。”

在一款有漏洞的手机APP上，工程师经过一番探索，发现这个漏洞主要存在于信息查询功能上。在记者的见证下，工程师在模拟APP中输入了“张敏”，查出了用户的地址、电话和身份证号。然后工程师输入了一系列乱码，屏幕上出现了APP中所有用户的地址、电话、身份证号。

“这个乱码就是我们分析的程序漏洞，相当于匹配一把钥匙开别人家。输入后，所有信息都可以看到。这个漏洞存在于具有信息查询功能的对话框中，比如熟悉的快递网站首页，输入运单号查询物流信息。如果物流网站有这样的逻辑漏洞，被黑了之后，大家的物流信息都会泄露。”工程师说。

测试400个网站60个存重大漏洞

据安云科技介绍，最近Struts2已经暴露出高风险漏洞，黑客可以利用这些漏洞实现远程命令执行。这种脆弱性引起了业界的广泛关注。

什么是Struts2？“相当于网站建设的框架，广泛应用于大型互联网企业、政府、金融机构等的网站建设。任何用这个框架构建的网站都有这个漏洞。在我们监控的400家网站中，不幸招到了60家。”工程师介绍。

安云科技发现某政府信息网存在这个漏洞，技术人员利用这个漏洞成功获得了网站的最高ROOT权限。“这个权限等于开发者的权限。如果黑客有这个权限，他可以为所欲为，更改网站的网页数据，或者下载所有数据库。”

安云科技还对高校网站进行了安全测试，收集了243所高校的官网数据，从业务安全、隐私安全、应用安全、主机安全、网络安全五个维度进行综合评分。其中，80所大学被评为“好”，103所被评为“尚可”，60所被评为“差”。

“可以直观的理解，一般网站和差网站都有漏洞，给黑客一个机会。”工程师说。

安云科技也分析过医疗网站，其中56个评为“好”，8个评为“尚可”，4个评为“差”。

“在实际攻击中，黑客在一个网站上获得个人密码后，还可以把密码等个人信息带到其他网站上分析库。通过从多个网站获得的信息，经过关联和比较，可以进行个人信息。更细致的还原。”安云科技简介。

七成信息泄露，来自黑客攻击

近日，360互联网安全中心发布了《2016年中国网站安全漏洞态势分析报告》。报告显示，2016年，360网站安全检测平台共扫描各类网站197.9万个，发现漏洞网站91.7万个，占比46.3%，略低于2015年。虽然易受攻击的网站数量有所减少，但高风险漏洞的数量却显著增加，这表明极少数网站存在大量高风险漏洞。网站的高风险漏洞激增，导致大量信息被泄露。

上游黑客获取信息，下游信息经销商转手买卖，个人信息销售形成了产业链，类似的交易每天都在发生。腾讯CEO马引用公安部门的数据称，目前中国有150多万非法互联网从业人员，黑市规模已达1000亿元。

山东信息网络安全协会专家张朝伦表示，网络信息泄露的原因有两个:外部攻击和内部窃取。“从信息泄露事件发生的概率来看，外部攻击占70%。对于外部攻击者来说，最重要的手段是发现和利用信息系统中的漏洞。”

“知名互联网公司技术团队庞大，技术水平高，在个人信息保护方面做得很好。还有一些企业网站，由于数据管理意识薄弱，数据库安全技术水平差，很容易泄露信息。”张朝伦说。

张朝伦认为，相关监管部门需要尽快规范企业网站的开发安全标准，加大安全技术人员的培训力度。“国家需要制定一个统一的标准。不符合标准的网站不能运行，要按照标准进行监控和整改。现在专业的安全开发者比较紧缺，需要加快相关专业的设置和人才培养。”