5月21日,网友“carry_your”发布了一则等级为“高级”的漏洞信息,编号:QTVA-2015-237080,漏洞名称为“中国人寿某省系统存在漏洞#可getshell#泄漏百万客户信息”。保单信息、微信支付信息、客户姓名、电话、***、住址、收入多少、职业等敏感信息一览无余。据乌云漏洞报告平台统计,2015年上半年中国人寿漏洞出现7次,漏洞类型主要包括敏感信息泄露、未授权访问/权限绕过、任意文件遍历/下载以及设计缺陷/逻辑错误。
技术原因:国家信息技术安全研究中心专家曹岳表示,由于平台本身交易量巨大、往来客户数量多,对试图非法获取客户敏感信息的不法分子来说,一旦入侵[CQX2] 成功,其获益是巨大的。由此,像保险企业这样涉及大量客户个人信息和商业机构信息存储的企业,须对公众信息保护承担义务,更应加强信息安全构建,防止公众的合法权益受到侵害。
事件六 多家P2P平台同时遭黑客攻击(2015.6)
来源:广州日报大洋网
6月18日,互联网金融安全再受拷问,信融财富、宝点网和立业贷等多家P2P平台本周同时遭受黑客流量攻击,造成网站无法打开或访问速度缓慢。根据世界反黑客组织的通报,中国P2P平台已成为全世界黑客“宰割的羔羊”。业内人士表示,目前P2P软件提供商鱼龙混杂,不少平台IT系统简单、漏洞多,是被黑客轻易攻击的主要原因。P2P网贷平台对技术的要求不亚于银行,如何解决网贷系统安全问题,事关P2P平台公司的存亡。
“6月15日11时04分至16日9时,信融财富官网遭受到恶意流量攻击,造成网站无法访问的情况。”深圳P2P平台信融财富发布公告称,其官网遭到了黑 客大规模DDOS恶意流量攻击,使平台网站访问受到影响,平台已于第一时间启动应急防御措施。几乎与此同时,另外两家平台宝点网和立业贷也均遭到了大规模黑客攻击。
技术原因:P2P网贷平台其技术要求不亚于银行,甚至比银行还要高。但现实情况是,大多数P2P网贷平台无论在架构、数据库、安全防范方面,应对黑客的攻击能力几乎为零。
事件七 约10万条高考生信息泄露(2015.8)
来源:新浪新闻中心
据新华社电“不管考多少分,都有机会在名校上大学,享受普通本科生一样的资源和待遇。”高考录取工作结束之际,一些不法分子利用非法获取的高考生信息通过电话进行招生诈骗。武汉警方日前查获约10万条泄露的高考生信息,涉嫌用于招生诈骗。这些信息涉及约10万名考生,遍及13个省区市。
据知情人士介绍,高考生信息在网上被肆意出售。10万条信息标价1万元,平均每一条信息价格为0.1元。这些信息被一些不法分子购买后用来进行招生诈骗,也就是常说的“低分高录”。骗子自称是招生院校或省招办某领导的熟人,声称有办法让不够第一批本科线的考生到第一批本科院校就读。
技术原因:教育考试报名系统中包含大量考生个人隐私信息,需要进行数据库安全防护,确保敏感数据不会泄露。
事件八 大麦网600多万用户账号密码泄露 数据已被售卖(2015.8)
来源:新浪科技
8月27日,乌云漏洞报告平台发布报告显示,线上票务营销平台大麦网再次被发现存在安全漏洞,600余万用户账户密码遭到泄露。
起初发现有大麦网用户数据库在黑产论坛被公开售卖,于是对泄露的用户数据进行验证,发现相邻账号的用户ID也是连续的,并均可登录。因此,丛技术的角度可以初步证明本次大麦网的数据泄露有被拖库嫌疑(网站用户注册信息数据库被黑客窃取)。
技术原因:大麦网前台应用有程序漏洞,主要原因是疑被“拖库”,指从数据库中导出数据,现指网站遭到入侵后,黑客窃取其数据库。
事件九 内蒙古19万考生信息泄露(2015.9)
来源:京华网
据新华社电内蒙古自治区教育招生考试中心透露,内蒙古19万名高考考生信息近日遭泄露。9月2日上午得知此事后,教育招生考试中心立即组织人员进行研判,并确认网传信息基本属实。随后,该单位立即报警,希望警方进行彻查。
这些信息中包括考生的姓名、***号码及其父母姓名、电话,名单覆盖了内蒙古自治区的12个盟市,数量最多的地方达4万多条。