近日國內多個商業網站的用戶信息被泄露，愈演愈烈的“泄密門”中，政務網站也未能幸免于“數據裸奔”。30日上午，網友在新浪微博揭露了廣東省公安廳出入境政務服務網網站后臺存在漏洞。獲得漏洞地址的人士可以訪問2011年6月24日至昨日所有網上申請者提交的信息，共計444萬余條。

　　問題一個月前就暴露

　　30日早上，知名IT人士@月光博客發布微博：“廣東省公安廳出入境政務服務網網上申請數據泄露，幾乎全部提交網上申請用戶的真實姓名、護照號碼、港澳通行證號碼遭到泄密，目前該漏洞還沒有修復?！辈⑻峁┝讼嚓P信息的模糊截圖。

　　記者從相關人士處獲得漏洞地址http://crj.gdga.gov.cn/*******。網頁顯示是網上申請數據的列表。根據泄露網頁首頁和末頁的數據，此次泄露的信息范圍是2011年6月24日至昨日中午12：30前所有通過網站申請簽注的用戶資料，總數高達4441387條。

　　最新信息為昨日中午12時30分李*的申請記錄。點擊每條記錄，可看到用戶的出生年月、郵寄地址、郵編、電話、證件有效期、出境事由等信息。記者在該網頁搜索欄內輸入自己的通行證號碼，赫然發現自己下半年三次申請港澳簽注的記錄和相關的個人信息。

　　據記者調查，相關漏洞由一名網名為“刺刺”的程序員發現，11月29日“刺刺”將漏洞信息提供給“烏云(WooY un)”平臺，昨日早上“烏云”將漏洞信息交由著名IT人士“@月光博客”發布?！盀踉啤逼脚_的負責人表示，11月29日收到漏洞信息后他們已交給相關部門處理，因為處理漏洞需要時間，所以他們在一個月后才公布漏洞。

　　程序員稱是“低級錯誤”

　　“@月光博客”分析，此次漏洞估計為程序設置問題，查看后臺信息功能的權限控制錯誤，導致普通用戶可以繞過登錄環節，直接訪問后臺頁面查看數據。

　　資深程序員、某電子商務網站創始人徐湘濤表示，一般來說，涉及后臺數據時，每個網站的管理人員會根據職責得到不同的信息權限。在用戶數據頁面展現之前，應該有“校驗身份”的過程，相關人員登錄、通過校驗后，才能訪問后臺信息?！霸谕饩W輸入網址就能查看后臺數據，對程序員來說這是一個挺低級的錯誤。”

　　就近日連串泄密事件，“@月光博客”評論道：“相當于實名制網站的電子商務平臺泄露的數據是最恐怖的……最令人郁悶的是，用戶沒有應對措施，去電商網站購買商品，不可能留下假的名稱、假地址、假手機號碼”。而他認為，“政府類服務網站泄露信息危害更大，導致很多不上網的用戶資料信息也遭到泄露，比商業網站出問題可怕百倍。”

　　事件處置

　　省公安廳：網站確有技術漏洞

　　昨晚9時許稱已修補完畢，外泄網頁已無法訪問

　　南都訊 記者陳萬如 周皓昨日中午12時，證實漏洞存在后，記者馬上向省公安廳反映。昨日13點30分后，相關網頁無法訪問，顯示“內部服務器故障”。

　　昨晚9時許，省公安廳通過官方微博“@平安南粵”回應稱：“近日，網上有消息稱，廣東省公安廳出入境政務服務網存在技術漏洞問題。廣東省公安廳對此高度重視，迅速成立專責小組對該情況進行核查。經初步調查，該網站確實存在技術漏洞，現已修補完畢?！?/P>

　　在另一條微博中，“@平安南粵”稱：“目前，公安機關正對該事件做進一步調查。公安機關提醒，任何在網上非法入侵、竊取數據都屬違法犯罪行為，公安機關將對此嚴厲打擊。群眾一旦發現上述行為，請立即向公安機關舉報。”

　　截至當晚，此前泄露出的后臺網頁，外網已無法訪問。

　　網站“泄密”并非近期才密集發生

　　業內人士稱各大網站數據庫泄露圈內已流傳多年;用戶對“泄密”完全不可控，只能靠網站維護

　　南都訊 記者陳萬如 繼CSDN、天涯社區等網站用戶信息外泄后，這場“泄密”風波逐漸超出社交網站的范疇，蔓延至電子商務、銀行業甚至政府網站，引起人們對網絡上個人信息安全的擔憂。

　　互聯網人士指出，網站“泄密”情況一直都有，只是近期被密集曝光。問題主要出在國內很多網站包括政務網站系統架構水平低、安全意識差。用戶對此完全不可控，只能靠網站不斷維護。

　　明文保存密碼是“泄密”根源

　　資深程序員徐湘濤表示，首先，明文保存密碼是多個商業網站用戶信息被泄露的關鍵。另外目前國內不少網站包括政務網站，系統架構水平較低，網站開發和管理人員的安全意識比較差。“網站需要做好數據隔離，最基本的比如用多層防火墻隔離存儲用戶數據的服務器，限定只能在內網訪問該服務器，外網不能訪問?！?/P>

　　按照我國有關規定，銀行網站必須進行“代碼審計”，在網站開發人員之外另聘第三方的專業人員審查網頁代碼是否存在漏洞，但對電子商務網站尚未有此要求。美國則要求在其資本市場上市的互聯網公司進行“代碼審計”。

　　網站“泄密”殺毒軟件也無奈

　　對近期多個網站連續被曝光泄露用戶信息，徐湘濤表示，這些事情一直都在發生，不是在近期密集發生，而是密集被公開。各大網站的數據庫被爆，在圈子里已經流傳好幾年了，在C SD N泄密被公開后，新聞效應導致其他網站的漏洞也被踢爆。

　　金山反病毒工程師李鐵軍也表示，從各個網站被泄露的用戶數據來看，這些數據被泄露已有幾個月甚至是幾年的時間，并非近期竊取的數據。

　　“泄密問題出在服務端，用戶完全不可控，裝在客戶端的殺毒軟件也無法防止。軟件的漏洞總是不斷地被發現，只能靠網站不斷維護?！崩铊F軍指出，如果網站請專業的安全團隊做維護，分析訪問日志，會發現黑客入侵信息，堵截相關漏洞;否則可能出現“被黑客盜取資料仍懵然不知”的情況。

　　受損用戶有權向網站索賠

　　此外，北京市盈科(廣州)律師事務所律師賀俊從法律角度分析指出，如果是黑客入侵竊取數據，按照2009年我國通過的《刑法》修正案規定，構成了非法竊取計算機信息數據罪。如果是網站內部員工泄露了數據，那么根據《侵權責任法》，這也是侵犯公民隱私權的行為。

　　“不管是黑客入侵還是內部泄露，網站既構成侵權，又構成違約。如果用戶因為信息泄露造成損失，有權向網站索賠?！?/P>

　　支招

　　如何保護個人信息安全?

　　互聯網時代，普通網民應該如何保護個人信息安全?

　　反病毒工程師李鐵軍建議，網友應該把日常使用的網絡服務分類，重要服務如郵箱等，需設置專用密碼，避免黑客獲得其他網站泄露的數據庫入侵郵箱。

　　李鐵軍特別強調，網民需注重常用郵箱的賬號和密碼安全，一旦郵箱被入侵，黑客可以從郵件的信息中獲取聯系人、職業和使用者個性等信息，有可能冒用身份，發送病毒郵件和木馬后門程序，實現詐騙等活動?！班]箱就像保險箱，里面有打開其他服務的全部鑰匙?！?/P>

　　而徐湘濤就針對用戶密碼，給出了幾點提醒：

　　1.別以為你的賬號不值得被利用，黑客會用程序批量掃描;

　　2.營銷公司、詐騙團伙對你的信息包括社交網絡關系很感興趣;

　　3.最好是各站用戶名郵箱密碼均不同，至少銀行、金融支付等重要密碼和普通的娛樂、社交網站不同。

　　4.退而求其次的辦法是，密碼根據對應網站作相應變化，如新浪密碼后面加上na，百度的密碼加上du。

　　背景

　　今年網站“泄密”事件

　　8月4日 湖南省公安廳官網泄露超過3000名申請赴港的港人內地配偶的詳細資料。

　　12月21日知名程序員網站CSDN的一份用戶數據庫由于未查明原因被曝光，包含超過600萬個注冊郵箱賬號和對應明文密碼。

　　12月22日網友爆料游戲網站多玩網有800萬用戶資料被泄露。同日，網上還流傳著疑似人人網、貓撲、7K7K等多個網站的用戶信息庫。

　　12月25日天涯社區4000萬用戶賬號和密碼被泄露，天涯表示“天涯社區早期使用過明文密碼，此次被盜的數據為2009年之前的備份數據”。

　　12月27日京東商城在某些業務上存在用戶權限控制不當的漏洞，導致用任意用戶登錄后都可以訪問到所有用戶的姓名、地址、電話、Email等。(南方都市報 www.nddaily.com SouthernMetropolisDailyMark 南都網)

　　12月29日過千萬的支付寶用戶的賬號被泄露，支付寶回應稱“單純的支付寶賬號不是私密信息，對用戶資金安全沒有任何威脅”。