免费一区二区三区视频狠狠,国产一级二级三级在线观看,国产福利91精品一区二区,青青青草国产,国产成人精品大片免费下载,国产亚洲精品美女2020久久 ,四虎国内精品一区二区

首頁 › 處罰公示

申通被曝13個安全漏洞 黑客竊取3萬多客戶信息

2015-12-2 17:42| 發(fā)布者: 解剛| 查看: 654| 評論: 0|來自: 新華網(wǎng)

    申通被曝13信息安全漏洞

  黑客借此竊取3萬多客戶信息 獲利3萬余元被判7個月 以后快遞出漏洞擬最高罰5萬

  漏洞標題: 國內(nèi)快遞行業(yè)某個疑似通用軟件配置不當(dāng)引發(fā)大量信息泄露(目前測試五個快遞公司)

  危害等級: 高

  漏洞狀態(tài): 已交由第三方合作機構(gòu)(cncert國家互聯(lián)網(wǎng)應(yīng)急中心)處理

  上月,國務(wù)院法制辦就《快遞條例》向社會征求意見。其中要求,快遞企業(yè)應(yīng)建立電子數(shù)據(jù)管理制度,確保用戶信息安全。發(fā)生或者可能發(fā)生用戶信息泄露、毀損、丟失的情況時,快遞企業(yè)應(yīng)當(dāng)立即采取補救措施。違反上述規(guī)定的,處1萬元以上5萬元以下的罰款。

  你個人信息安全嗎?

  黑客利用申通快遞公司的管理系統(tǒng)漏洞,侵入該公司服務(wù)器,非法獲取了3萬余條個人信息,之后非法出售。審查此案的上海市青浦區(qū)檢察院檢察官告訴《法制晚報》記者,買這些信息的人,多數(shù)是為了行騙。

  據(jù)檢察官透露,黑客是看到著名安全網(wǎng)“烏云網(wǎng)”公布的申通公司系統(tǒng)漏洞后作案的。

  記者隨后搜索“烏云網(wǎng)”發(fā)現(xiàn),2013年以來,該網(wǎng)站至少公布了申通公司與信息泄露隱患有關(guān)的漏洞報告13篇,涉及系統(tǒng)弱口令、服務(wù)器目錄、管理后臺、快遞短信等各個方面,其中9份報告被標注的危害等級為“高”。

  案件詳情3個月竊3萬余條客戶信息

  根據(jù)上海市青浦區(qū)檢察院指控,2014年9月至11月,鞠某為非法牟利,利用申通K8速運管理系統(tǒng)漏洞,非法侵入申通快遞有限公司服務(wù)器,下載包含公民個人信息的快遞面單信息3萬余條。后通過網(wǎng)絡(luò)出售給他人,非法獲利3萬余元。

  其中,2014年9月,任某在鞠某的安排下,利用申通K8速運管理系統(tǒng)漏洞非法侵入申通快遞有限公司服務(wù)器,下載包含公民個人信息的快遞面單信息2000余條并提供給鞠某。后鞠某通過網(wǎng)絡(luò)將信息出售給他人,并向任某支付報酬2000余元。

  經(jīng)過審理,上海市青浦區(qū)法院認定了檢方指控的事實。2015年4月2日,法院以非法獲取公民個人信息罪判處鞠某有期徒刑7個月,并處罰金1萬元;8月24日,法院以同樣的罪名判處任某拘役4個月,并處罰金4000元。

  QQ群公開叫賣被申通發(fā)現(xiàn)

  日前,上海市青浦區(qū)檢察院承辦案件的檢察官喬青接受了《法制晚報》記者(法晚微信ID:fzwb_52165216)采訪。

  “任某是鞠某的親戚,他不懂電腦技術(shù),主要是給鞠某打下手。入侵服務(wù)器拿回的信息都是一張一張的圖片,任某幫鞠某把圖片上的信息,一條一條輸?shù)奖砀窭!?/p>

  “任某整理好申通公司的客戶信息后,以QQ群為平臺,在群里公開叫賣,每條信息一塊錢。現(xiàn)在有很多專門賣個人信息的QQ群,賣家買家都在這個平臺出價、付款、收貨。”喬青介紹說,這是任某第一次作案,沒想到找到的買家竟然是潛伏在QQ群里的申通快遞法務(wù)人員。

  “申通的法務(wù)人員發(fā)現(xiàn)任某在賣申通公司的信息后,向公安機關(guān)報案,并提交了付款等圖片證據(jù)!睓z察官說。

  買賣個人信息多為了詐騙

  據(jù)檢察員喬青介紹,“我們青浦區(qū)(檢察院)每年都會辦理大量快遞公司信息泄露的案件。因為國內(nèi)五家大的快遞公司,包括申通、中通、圓通、韻達、順豐都設(shè)在上海青浦區(qū)!

  喬青說,這些個人信息泄露案件中,購買信息的買家各不相同。

  “買這些信息,多半回去是為了詐騙。比如,買了個人信息,他們會知道你買的是哪家購物網(wǎng)站的什么東西,之后會冒充這家網(wǎng)站的客服行騙,這時候?qū)κ芎φ咧v的內(nèi)容會更有信服力!眴糖嗾f。

  除騙子之外,還有一些人非法購買大量個人信息,是為了再轉(zhuǎn)手將信息賣給別人,從中賺差價。

  “第一手賣出的價格,大約是一塊錢一條。經(jīng)過層層加價,轉(zhuǎn)到最后的買家手里,價格會漲到兩三塊錢一條!眴糖嗾f。

  延伸采訪嫌犯看到網(wǎng)曝漏洞才下手

  喬青告訴記者,審查案件過程中,檢察官發(fā)現(xiàn),任某、鞠某之所以選申通K8速運管理系統(tǒng)下手,并得以利用其漏洞,是因為在“烏云網(wǎng)”上看到了公布出來的申通公司的系統(tǒng)漏洞。

  “烏云網(wǎng)”成立于2010年5月,創(chuàng)始人為百度前安全專家方小頓——一位出生于1987年的國內(nèi)知名黑客。方小頓聯(lián)合幾位安全界人士成立“烏云網(wǎng)”,目標是成為“自由平等”的漏洞報告平臺,為計算機廠商和安全研究者提供技術(shù)上的各種參考。

  據(jù)不完全統(tǒng)計,“烏云網(wǎng)”公布的安全漏洞達77848個。一位IT技術(shù)員表示:“如果黑客對‘烏云網(wǎng)’公布的漏洞有興趣,那么只要知道企業(yè)名字和大概漏洞消息源頭,侵入這個企業(yè),不是難事!

  報告詳述了破解申通步驟

  記者通過梳理烏云網(wǎng)漏洞列表發(fā)現(xiàn),2014年7月19日,一名叫“袋鼠媽媽”的漏洞作者提交的一份名為“國內(nèi)快遞行業(yè)某個疑似通用軟件配置不當(dāng)引發(fā)大量信息泄露”的報告,在時間點上與任某、鞠某的作案時間點最為吻合。

  報告中,作者詳列了發(fā)現(xiàn)漏洞的步驟,并貼出了按照他所列步驟操作后得到的信息的圖片——一份快遞單。

  報告顯示,作者共測試了5家快遞公司,其中包括申通。報告的最后,作者寫道:綜上,個人推斷快遞行業(yè)使用的K8速運管理系統(tǒng)會因配置不當(dāng)導(dǎo)致泄露,有空看能否對其軟件逆向試試,但目前大量快遞信息泄露是真實存在的。

  根據(jù)青浦檢察院檢察官提供的線索,記者登錄“烏云網(wǎng)”查詢發(fā)現(xiàn)了大量與申通快遞公司有關(guān)的系統(tǒng)安全漏洞。

  經(jīng)過記者的不完全統(tǒng)計,2013年至今,在申通快遞公司被公布的安全漏洞中,與“信息泄露”相關(guān)的,有13份報告。其中2013年公布的4份,2014年公布的5份,2015年公布的4份。

  這些漏洞報告中,被標注危害等級為“高”的,有9份。

  漏洞標題: 申通快遞某系統(tǒng)存弱口令,可導(dǎo)致信息泄露

  危害等級: 高

  漏洞狀態(tài): 漏洞已經(jīng)通知廠商但是廠商忽略漏洞

  漏洞標題: 申通快遞某處注入 內(nèi)部信息泄露 申通

  危害等級: 高

  漏洞狀態(tài): 漏洞已經(jīng)通知廠商但是廠商忽略漏洞

  漏洞標題: 申通快遞公司后臺權(quán)限繞過大量用戶資料泄露

  危害等級: 高

  漏洞狀態(tài): 未聯(lián)系到廠商或者廠商積極忽略

  漏洞標題: 申通快遞某處泄露快遞單掃描件、客戶身份證、電話錄音等信息

  危害等級: 中

  漏洞狀態(tài): 廠商已經(jīng)確認

  漏洞標題: 申通快遞短信服務(wù)泄漏敏感信息

  危害等級: 中

  漏洞狀態(tài): 漏洞已經(jīng)通知廠商但是廠商忽略漏洞

  漏洞標題: 申通快遞E3集群系統(tǒng)和客服管控系統(tǒng)管理信息泄露

  危害等級: 高

  漏洞狀態(tài): 廠商已經(jīng)確認

  漏洞標題: 申通快遞辦公系統(tǒng)任意登錄并可使用其內(nèi)部功能(直接泄露登錄密碼)

  危害等級: 低

  漏洞狀態(tài): 廠商已經(jīng)確認

  漏洞標題: 申通快遞某管理后臺存在漏洞,可能泄露內(nèi)部敏感信息

  危害等級: 高

  漏洞狀態(tài): 廠商已經(jīng)確認

  漏洞標題: 申通快遞某系統(tǒng)存在SQL注入(泄露大量客戶快遞信息)

  危害等級: 高

  漏洞狀態(tài): 漏洞已經(jīng)通知廠商但是廠商忽略漏洞

  漏洞標題: 申通快遞某站從弱口令到getshell再到業(yè)務(wù)數(shù)據(jù)泄露

  危害等級: 高

  漏洞狀態(tài): 廠商已經(jīng)確認

  漏洞標題: 申通某服務(wù)器目錄遍歷導(dǎo)致泄露大量用戶信息

  危害等級: 高

  漏洞狀態(tài): 廠商已經(jīng)確認

  漏洞標題: 申通快遞權(quán)限設(shè)計不當(dāng)可獲取修改全站用戶收貨地址(大量敏感信息泄露)

  危害等級: 低

  漏洞狀態(tài): 廠商已經(jīng)確認

  申通信息安全漏洞至少13處

  消費維權(quán)

  客戶可索賠但比較難

  北京市惠誠律師事務(wù)所律師陳楠告訴《法制晚報》記者(法晚微信ID:fzwb_52165216),如果快遞客戶遭遇詐騙并掌握證據(jù)證明詐騙受害系因快遞公司信息泄露引起,且快遞公司在信息泄露這一問題上有過錯,那么,受害人可以對快遞公司追究賠償責(zé)任。

  但陳律師坦言,在現(xiàn)實中,這種索賠會很艱難。

  “你很難證明自己被騙是因為快遞公司信息泄露導(dǎo)致。除非黑客被抓了,買信息的騙子也被抓了,他們都承認犯罪事實,你還知道他們被抓且認罪,才有可能。”

  “但實際上,往往是快遞客戶在A地,竊取信息的黑客在B地,買信息的人在C地,實施詐騙的人在D地。你人在A地,怎么可能會知道千里之外的B地,有個非法獲取個人信息的刑事案件和你有關(guān)?”他說。


路過

雷人

握手

鮮花

雞蛋
聯(lián)系電話:0357-3991268
聯(lián)系QQ:649622350

QQ|Archiver|手機版|小黑屋|臨汾金融網(wǎng) ( 晉ICP備15007433號

Powered by Discuz! X3.2© 2001-2013 Comsenz Inc.

返回頂部