-
-
转帖:黑客利用漏洞窃取用户短信记录并发布到论坛上
-
发表于: 2014-12-16 20:17 1330
-
新闻链接:http://www.2cto.com/News/201412/360782.html
新闻时间:2014-12-13
新闻正文:
最近,市民小张比较郁闷,她与丈夫的亲昵短信被人发布到了论坛上,而泄露他们短信记录的竟然是黑客……
黑客利用漏洞窃取用户短信记录
“老公,我现在就要”,“宝贝乖,晚上买给你”….小张与丈夫的来往短信,与其他几百人短信记录同时出现在一个论坛上。经过多方紧急处理,相关论坛及时删除了这些被曝光的短信内容和手机号码。但是小张却很苦恼:手机一直在身边,没有借给他人,也没有送去维修,手机里的短信是被谁偷窃到的呢?
经过重重排查发现,原来是电信运营商官网遭入侵,黑客下载复制了用户的短信记录和手机号码后,然后随手发布到了论坛上,其中就包含小张的短信记录。这个结果不禁让小张大吃一惊。
据了解,用户的手机号码和短信记录一般是保存到运营商的网站数据库内,除运维管理人员外,其他人是无法查询下载到的。“如果网站存在重大安全漏洞,黑客就能够利用漏洞进入获取到跟运维人员一样的管理权限,然后进入到电信运营商的数据库,下载到用户的手机号码、短信聊天记录等等”,一位网络安全专家表示。
据补天漏洞响应平台统计显示,从今年6月份以来,某电信运营商被发现了300多个漏洞,这些漏洞不只是会泄露用户信息,还会造成远程攻击、被植入钓鱼页面而已木马等等威胁。而就在本月4日,白帽子“august”更是向该电信运营商提交了一个高危的SQL注入漏洞。该漏洞能够使黑客直接获取到1700万用户的短信记录、800万用户电话号码和身份号码等敏感信息。随后的12月5日,该电信运营安全服务中心确认了该漏洞情况,并表示将进行相应修复。
虽然不能确定小张的手机短信是某一个漏洞导致,但可以确认的是:这些漏洞已经被白帽子发现和修复前或已被黑客利用,由此导致用户的手机号码和短信记录泄漏。
漏洞泄露用户,是否该追责企业?
因网站漏洞泄露网友信息这已经不是第一次。今年快递网站泄露1400万用户信息、去年某酒店系统泄漏2000万条客户开房记录等等,都是因为网站漏洞导致。不仅给网友造成重大损失,也给相关企业造成了直接或者间接的经济损失。而据《2013年中国网站安全报告》的数据显示,国内超过95%的网站存在漏洞,超过40%的网站存在后门。
面对层出不穷的漏洞问题,微软、Google、360等公司均设立了SRC(安全应急响应中心),发动有贡献精神的白帽子提交漏洞,以保证企业最快发现漏洞,最大程度保障企业网络安全。同时,针对大部分企业没有建立SRC的现状,360还推出了补天漏洞响应平台,提出帮助企业建立自己的SRC。
此外,国家也在加强用户信息保护方面的立法。“国家已经立法强调企业保护用户信息的重要性,企业如果因安全措施不够而泄露用户信息的话,将会受到重罚”,法律专家谢成表示,最新颁布的刑法修正案(九)(草案)第二百八十六条之一规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门通知采取改正措施而拒绝执行,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。“以后再发生手机短信遭黑客窃取泄露的事情,用户可以直接追究企业的责任”。
随着法律法规的不断完善,以及企业对于信息安全保护的重视和补天等第三方SRC平台的建立,三管齐下将有效保障公民个人信息安全。
新闻时间:2014-12-13
新闻正文:
最近,市民小张比较郁闷,她与丈夫的亲昵短信被人发布到了论坛上,而泄露他们短信记录的竟然是黑客……
黑客利用漏洞窃取用户短信记录
“老公,我现在就要”,“宝贝乖,晚上买给你”….小张与丈夫的来往短信,与其他几百人短信记录同时出现在一个论坛上。经过多方紧急处理,相关论坛及时删除了这些被曝光的短信内容和手机号码。但是小张却很苦恼:手机一直在身边,没有借给他人,也没有送去维修,手机里的短信是被谁偷窃到的呢?
经过重重排查发现,原来是电信运营商官网遭入侵,黑客下载复制了用户的短信记录和手机号码后,然后随手发布到了论坛上,其中就包含小张的短信记录。这个结果不禁让小张大吃一惊。
据了解,用户的手机号码和短信记录一般是保存到运营商的网站数据库内,除运维管理人员外,其他人是无法查询下载到的。“如果网站存在重大安全漏洞,黑客就能够利用漏洞进入获取到跟运维人员一样的管理权限,然后进入到电信运营商的数据库,下载到用户的手机号码、短信聊天记录等等”,一位网络安全专家表示。
据补天漏洞响应平台统计显示,从今年6月份以来,某电信运营商被发现了300多个漏洞,这些漏洞不只是会泄露用户信息,还会造成远程攻击、被植入钓鱼页面而已木马等等威胁。而就在本月4日,白帽子“august”更是向该电信运营商提交了一个高危的SQL注入漏洞。该漏洞能够使黑客直接获取到1700万用户的短信记录、800万用户电话号码和身份号码等敏感信息。随后的12月5日,该电信运营安全服务中心确认了该漏洞情况,并表示将进行相应修复。
虽然不能确定小张的手机短信是某一个漏洞导致,但可以确认的是:这些漏洞已经被白帽子发现和修复前或已被黑客利用,由此导致用户的手机号码和短信记录泄漏。
漏洞泄露用户,是否该追责企业?
因网站漏洞泄露网友信息这已经不是第一次。今年快递网站泄露1400万用户信息、去年某酒店系统泄漏2000万条客户开房记录等等,都是因为网站漏洞导致。不仅给网友造成重大损失,也给相关企业造成了直接或者间接的经济损失。而据《2013年中国网站安全报告》的数据显示,国内超过95%的网站存在漏洞,超过40%的网站存在后门。
面对层出不穷的漏洞问题,微软、Google、360等公司均设立了SRC(安全应急响应中心),发动有贡献精神的白帽子提交漏洞,以保证企业最快发现漏洞,最大程度保障企业网络安全。同时,针对大部分企业没有建立SRC的现状,360还推出了补天漏洞响应平台,提出帮助企业建立自己的SRC。
此外,国家也在加强用户信息保护方面的立法。“国家已经立法强调企业保护用户信息的重要性,企业如果因安全措施不够而泄露用户信息的话,将会受到重罚”,法律专家谢成表示,最新颁布的刑法修正案(九)(草案)第二百八十六条之一规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门通知采取改正措施而拒绝执行,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。“以后再发生手机短信遭黑客窃取泄露的事情,用户可以直接追究企业的责任”。
随着法律法规的不断完善,以及企业对于信息安全保护的重视和补天等第三方SRC平台的建立,三管齐下将有效保障公民个人信息安全。
赞赏
看原图
赞赏
雪币:
留言: