广东出入境444万用户信息被盗 公安厅证实漏洞

近日国内多个商业网站的用户信息被泄露，愈演愈烈的“泄密门”中，政务网站也未能幸免于“数据裸奔”。昨天上午，网友在新浪微博揭露了广东省公安厅出入境政务服务网网站后台存在漏洞。获得漏洞地址的人士可以访问2011年6月24日至昨日所有网上申请者提交的信息，共计444万余条。

问题一个月前就暴露

昨日早上，知名IT人士@月光博客发布微博：“广东省公安厅出入境政务服务网网上申请数据泄露，几乎全部提交网上申请用户的真实姓名、护照号码、港澳通行证号码遭到泄密，目前该漏洞还没有修复。”并提供了相关信息的模糊截图。

记者从相关人士处获得漏洞地址http://crj.gdga.gov.cn/*******.网页显示是网上申请数据的列表。根据泄露网页首页和末页的数据，此次泄露的信息范围是2011年6月24日至昨日中午12：30前所有通过网站申请签注的用户资料，总数高达4441387条。

最新信息为昨日中午12时30分李*的申请记录。点击每条记录，可看到用户的出生年月、邮寄地址、邮编、电话、证件有效期、出境事由等信息。记者在该网页搜索栏内输入自己的通行证号码，赫然发现自己下半年三次申请港澳签注的记录和相关的个人信息。

据记者调查，相关漏洞由一名网名为“刺刺”的程序员发现，11月29日“刺刺”将漏洞信息提供给“乌云(WooYun)”平台，昨日早上“乌云”将漏洞信息交由著名IT人士“@月光博客”发布。“乌云”平台的负责人表示，11月29日收到漏洞信息后他们已交给相关部门处理，因为处理漏洞需要时间，所以他们在一个月后才公布漏洞。

程序员称是“低级错误”

“@月光博客”分析，此次漏洞估计为程序设置问题，查看后台信息功能的权限控制错误，导致普通用户可以绕过登录环节，直接访问后台页面查看数据。

资深程序员、某电子商务网站创始人徐湘涛表示，一般来说，涉及后台数据时，每个网站的管理人员会根据职责得到不同的信息权限。在用户数据页面展现之前，应该有“校验身份”的过程，相关人员登录、通过校验后，才能访问后台信息。“在外网输入网址就能查看后台数据，对程序员来说这是一个挺低级的错误。”

就近日连串泄密事件，“@月光博客”评论道：“相当于实名制网站的电子商务平台泄露的数据是最恐怖的……最令人郁闷的是，用户没有应对措施，去电商网站购买商品，不可能留下假的名称、假地址、假手机号码。”而他认为：“政府类服务网站泄露信息危害更大，导致很多不上网的用户资料信息也遭到泄露，比商业网站出问题可怕百倍。”

事件处置

省公安厅：网站确有技术漏洞

昨晚9时许称已修补完毕，外泄网页已无法访问

南都讯记者陈万如周皓昨日中午12时，证实漏洞存在后，记者马上向省公安厅反映。昨日13点30分后，相关网页无法访问，显示“内部服务器故障”。

昨晚9时许，省公安厅通过官方微博“@平安南粤”回应称：“近日，网上有消息称，广东省公安厅出入境政务服务网存在技术漏洞问题。广东省公安厅对此高度重视，迅速成立专责小组对该情况进行核查。经初步调查，该网站确实存在技术漏洞，现已修补完毕。”

在另一条微博中，“@平安南粤”称：“目前，公安机关正对该事件做进一步调查。公安机关提醒，任何在网上非法入侵、窃取数据都属违法犯罪行为，公安机关将对此严厉打击。群众一旦发现上述行为，请立即向公安机关举报。”

截至昨晚，此前泄露出的后台网页，外网已无法访问。(文/南方都市报)

原文地址：http://www.safebeta.cn/show/22460.html