• 首页
• 产品目录
  • 加密产品
    • 标准版
    • 标准版+
    • 专业版
  • 商用安全产品
    • 数据服务器
    • 安全U盘
    • Web 防篡改系统
  • 企业防泄密系统
    • 设计经典版
    • 管理平台版
    • 至尊企业版
• 解决方案
• 服务与支持
  • 在线支持
  • 软件下载
• 保密技术
• 关于我们

一、腾讯QQ群数据库泄露 12亿QQ号隐私“被裸奔”

　　腾讯QQ群数据遭泄露，用户姓名年龄等信息均可“秒查”!QQ是我国公民使用最为广泛的即时通讯工具，此次数据泄露涉及7000多万个QQ群、12亿个部分重复的QQ号。
　　QQ群数据库泄露　用户隐私“被裸奔”
　　因为私密性与便利性，QQ群已成为志同道合的网友进行交流的主要根据地。国内知名安全漏洞监测平台乌云20日公布报告称，腾讯QQ群关系数据被泄露，数据下载链接很轻易在迅雷快传找到。根据QQ号，可以查询到备注姓名、年龄、社交关系网甚至从业经历等大量个人隐私。
　　2013年11月19日，360互联网攻防实验室研究员安扬通过迅雷，下载到了此次被曝光的“QQ群数据库”，并通过简单测试验证了数据的真实性。“解压后达90多G，大概有7000多万个QQ群，12亿多个部分重复的QQ号码。”
　　据了解，QQ群数据库已被多家网站利用开展垃圾邮件营销，纷纷主打“最牛精准数据库”。在名为“大战天朝”的网站上，销售邮件群发系统，商家称：“一台电脑日发10万封营销邮件!超高收件率，超高打开率!”
　　腾讯公司20日回应称，此次QQ群数据库泄露确有其事，但这一漏洞是2011年发现的问题，当时已及时修复，不影响现有用户正常使用。与此同时，他们也正在全力防范减少此前数据库泄露可能带来的危害。
　　QQ群数据何以泄露?安全联盟安全专家余弦认为，推测应该是黑客利用腾讯相关业务的漏洞获取数据库访问权限，然后将整个或关键的腾讯QQ群数据库找到，然后整体导出。“当黑客掌握用户的社交关系后，可以完整了解用户个人情况，利用社交圈的信任关系进行诈骗，成功率很高。”
　　灰色利益链暗藏　精准诈骗难防范
　　信息泄露背后已形成一条完整的利益链。这些用户信息或被用于团伙欺诈钓鱼，或被用于精准营销，更有甚者用于打击竞争对手。用户信息泄露主要有两方面原因造成：
　　第一种是企业主动泄露的，主要是企业利用用户的数据和信息牟利。如一些浏览器抓取用户的信息用于自己的产品如搜索引擎，一些小型房地产企业和银行主动对外销售自己的客户数据;
　　另一种是企业由于安全管理不完善，由黑客攻击或者内部人员人为导致用户信息泄露，如CSDN600万用户信息泄露、如家等酒店用户住宿信息的泄露，以及经常收到的各种营销短信都属于此类。
　　多数安全问题，其实地下非法产业已利用数月甚至几年，往往到黑客已无利用价值之时，才会浮出水面、被公布出来，修复也为时已晚。
　　谁来保卫公民信息安全?
　　多名业内人士指出，隐私保护需由国家层面立法立规，约束各企业认真对待用户隐私。企业除了受到法律法规的约束外，还必须加强自身的安全建设，防止由于黑客入侵导致用户隐私泄露。
　　北京市两高律师事务所律师董正伟认为，目前尽管没有专门保护公民隐私权的法律，但相关条款散见于侵权法等法律中，在具体案件中条款的落实值得重视。目前存在监管机构不够明确、执法不积极、责任追究不到位等问题，甚至会给公众造成通过网络侵犯隐私权无人管、不必承担责任的印象。
　　浙江容海律师事务所网络与知识产权专业律师王延军指出，网络隐私的泄露和相关的不正当商业竞争对整个互联网的安全秩序造成危害。网络隐私权的保护主要面临举证困难的问题。“互联网隐私的保护不能仅依靠立法层面，希望能进一步规范互联网企业的行为，并通过行业协会等实施监管。”
　　北京市昌平区法制办副主任、法学博士吴锋建议，对于达不到保密要求、存在技术漏洞的企业，应该出台相应的技术保密规范和惩罚机制。同时，补救措施要跟进，一旦出现信息泄露，要用网络技术手段弥补，最低限度减少风险。此外，对传播大量公民个人信息、利用泄露信息从事违法犯罪活动的行为要进行严厉打击。

二、酒店开房信息泄露事件

　　安全漏洞平台发布开房信息泄露报告
　　10月9日，国内安全漏洞监测平台发布报告称，如家/汉庭等酒店客户开房记录被第三方存储，并因漏洞导致开房信息泄露，涉及相关厂商为浙江慧达驿站网络有限公司。
　　该漏洞早在8月下旬即已发现并确认，随后即通知了厂商，经厂商确认后，相关细节即向相关领域专家公开，最终向公众公开。
　　据介绍，如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统，而慧达驿站在其服务器上实时存储了这些酒店客户的记录，包括客户名(两个人的话都会显示)、身份证号、开房日期、房间号等大量敏感、隐私信息。目前，因为漏洞原因，这些开房客户信息被泄露，同时泄露的还有一些SQL查询语句等。
　　该漏洞主要在于慧达驿站公司管理机制的不完善，用户连接酒店的开放wifi时，需要通过网页认证，而该认证并非在酒店服务器上完成，而是在浙江慧达驿站的服务器上完成，因此该服务器记录了开房者的客户信息。此外，客户信息的数据同步是通过http协议实现的，需要认证，但认证用户名跟密码都是明文传输的，各个途径都可能被嗅探到，然后用这个认证信息，即可从慧达驿站的数据服务器上获得所有酒店上传的客户开房信息。
　　开房信息可在线查询、下载
　　随后，打着不同名号、提供类似服务的网站陆续出现，在主页名为“开房数据查询”的网站上，网友只需输入姓名、手机或邮箱就可以查询到身份证号、性别、出生年月日、手机号以及注册邮箱等5项个人信息。
　　同时，淘宝网上出现卖家贩卖个人信息。在淘宝网输入“开房信息”后，跳出了一个商品，名称为“开房信息，大型酒店必备客源”。 根据店铺商品介绍，“开房信息”的来源为山西太原，标价为2000元，卖家在“宝贝详情”一栏里介绍说，信息共有8G，而且全面，是参考必备。
　　目前，各类查询开房信息的网站已无法打开，淘宝商品也均下架。
　　首例“2000万开房数据”受害者发起诉讼
　　在信息安全行业工作10多年的白领王金龙和张威也是开房数据泄露的受害者，由于个人隐私信息被泄露，两人饱受垃圾短信和推销电话骚扰之苦。
　　“作为信息安全讲师，连自己都保护不了，更何况普通人?”为此，两人近期在网上发起组建开房信息泄露的“受害者联盟”，准备邀请全国各地的受害者加入，一起通过法律诉讼来维护权益。王金龙和张威介绍，目前正在收集证据，本周将会委托律师向法院递交诉状。据悉，这也将是全国首例“2000万开房数据”受害者的维权诉讼。
　　“我们希望行动能够给那些不重视信息安全的商家以警醒，给那些认为可以随意买卖个人信息的人员以警醒，给那些正利用我们的信息谋取不义之财的人以警醒。”王金龙说，希望那些因个人信息泄露而带来苦恼的兄弟姐妹们，也能站出来，提供被侵权的相关法律证据，一起呐喊、一起维权、一起伸张正义，推动个人信息保护立法。

三、圆通泄露快递信息 大量单号被贩卖

　　近日，有消息称，圆通快递有百万客户的资料在网上被兜售。10月25日，圆通速递称，目前，倒卖其快件单号的网站已关停，内部发现的信息安全漏洞已基本堵住。圆通正在进一步采取相关后续措施，保障快件信息安全。
　　快递行业诚信告急，个人信息正面临严重的泄露危机。商报记者调查发现，每天在网上交易的快递单号高达3万个左右，不仅对个人隐私安全带来极大危害，也严重危及整个快递业的发展。
　　倒卖圆通单号网站已关停
　　22日晚，圆通速递发布声明，承认“快件面单信息倒卖”属实，并向消费者致歉。
　　25日，圆通速递公布了事件最新进展，称截至24日下午，倒卖圆通快件单号的不法网站已关停，圆通已组织专门人员全天候开展网络监测，防止倒卖现象“死灰复燃”。
　　圆通速递称，截至25日凌晨，公司内部发现的信息安全漏洞已经基本堵住，对部分信息安全管理不力的网点给予了严厉处理，并进行全员教育、培训、考核。
　　同时，对不法分子倒卖其快件信息的情况，圆通速递表示，已依法向公安部门报案，并将采取以下紧急措施：一、进行公司内部全面排查，寻找信息泄漏源头;二、联合信息技术合作伙伴，排除隐患、提升快件信息安全管理等级;三、会同各主要业务合作伙伴，进行信息系统接口互查;四、将及时公布事态进展。
　　另外，圆通还公布了信息倒卖举报专线，承诺凡举报该违法犯罪行为的，经查实并由公安机关立案受理，圆通将给予奖励。
　　“内鬼”泄密单号被倒卖
　　快递单号信息如何被泄露?圆通速递信息技术管理中心高级总监田冰称，可能是某些管理区域的工作人员泄露了账号密码，“内鬼”嫌疑很大。按圆通的信息防护措施，从外网进入数据中心抓取单号信息数据的可能基本为零，“如果掌握了权限较大的账号密码，一些黑客就可以接触到这些数据，然后通过技术手段直接抓取单号信息的数据，这样很难被发现”。
　　用途 买单号“刷钻”或电话营销
　　从单号出售者口中发现，快递单号形成买卖市场，通过虚假交易抬高卖家信誉和好评。
　　此外，部分电话营销商家也会购买单号信息。家住南坪四公里的市民任琪琪，拥有一个“皇冠”店铺，几乎每天都有包裹发出。“我的手机一个月至少要收100条垃圾短信，让我去某某网店买衣服呀，或者是某某店上新了，邀请我去逛逛。”但她表示，短信里的这些网络店铺此前并未光顾过，但对方却拥有她的电话号码。
　　业内人士透露，部分快递公司、电商对客户单号是“全名址”录入，甚至购买的产品名称也写在单上。“这些快递单包含了大批优质客户，可能会被一些别有用心之徒盯上。”同样，若消费者不注意保护个人隐私，将填有手机号、住址等信息的快递包裹随手丢弃，也是一个隐私泄露途径。
　　去年底，国家邮政局下发了《关于严密防范寄递企业及从业人员非法泄露用户使用邮政服务或快递服务信息的通知》，称快递企业和从业人员非法泄露用户使用邮政服务或快递服务信息属违法行为。
　　“如果客户发生严重后果，有证据表明意外的发生与信息泄漏相关，相关公司要承担相应责任。”重庆钧睿律师事务所律师曹伟表示，消费者也要注意保护自己的隐私，“收发快递可以使用化名及公共地址，尽量减少个人信息的外泄”。

四、Adobe 3800万用户密码被泄露

　　今年八月，黑客利用Adobe产品漏洞入侵了Adobe服务器，窃取了Acrobat等应用程序源代码和3800多万客户的信息，这些信息包括了客户名字、加密信用卡/借记卡号、信用卡过期日期、加密密码，及其它与客户订单相关的信息。匿名爆料平台AnonNews.org还发布了一个 3.8GB的users.tar.gz文件，该文件包含了1.5亿来自Adobe的用户名和加密密码，以及Adobe Photoshop源代码。
　　Adobe的代表承认，攻击者确实访问了部分Photoshop源代码。Adobe产品与服务安全部高级主任Brad Arkin在官方博客中表示，黑客利用其产品代码上存在的安全漏洞，进行复杂精密的网络攻击，不仅用户个人资料被窃取，连公司数项产品的源代码都被盗，其中包括Adobe Acrobat、ColdFusion 及 ColdFusion Builder 等软件，Arkin推测，黑客可能是想通过源代码，找到入侵企业网络的新方法。
　　通过Adobe遭遇的这一轮震惊世界的攻击活动，让人们不仅切身感受到攻击者在企业网络中建立根据地并夺取了整套业务储备控制权后所能带来的损害，同时也应学会在考虑将供应商引入软件供应链之前、考察对方在安全领域营造出了怎样的企业生态。作为此次泄露事故的后续影响，其潜在后果恐怕在很长一段时间内都无法彻底消除。