据央视《每周质量报告》,近日杭州警方破获一起非法买卖个人信息案件,犯罪嫌疑人利用一些快递公司网站的低级漏洞,窃取1400余万条用户数据并在网上售卖,而该嫌疑人仅仅是一名在校学生,由此引发了人们对快递网站数据安全性的担忧,然而这仅仅是网络世界数据泄露的冰山一角——根据专业安全机构检测,医疗、房产、旅游、教育、招聘等行业网站安全性普遍堪忧,都可能导致用户信息泄露。
  各大行业网站齐曝漏洞
  根据360网站安全检测平台发布的“2014上半年中国网站安全简报”显示,今年上半年国内共发现705万个网站漏洞!其中医疗卫生类网站是存在漏洞多的行业网站,其次是生活房产、教育培训、旅游酒店、医疗卫生、人才招聘等行业网站。
  网站有漏洞,意味着黑客可以轻易入侵网站后台,服务器权限,下载窃取网站数据库,数据库中可能包含着我们在这些行业留下的个人信息。更可怕的是,有些信息我们并没有在网上提交,但还是会被相关机构录入自己的数据库中,比如在医院看病后个人信息存在了医院的服务器数据库中,但是安全漏洞却会让这些数据被黑客盗取。
  这些行业数据包括健康状况、个人简历、地址信息、出行记录、家庭情况等,一旦被黑客攻击,数据泄露的危害完全不亚于快递数据泄露事件,此前曝光的2000万条酒店开房记录敲响了警钟。

  用户信息被窃取后,会被层层转卖给不法商贩。不法分子会对用户进行各种商业推销,给用户带来各类邮件、信息或电话骚扰。甚至,黑客还会利用获取的用户信息进行“撞库”操作,对用户的网银密码、邮箱账号进行窃取篡改。
  行业网站的四大安全盲区
  行业网站为什么存在这么多安全性这样脆弱?360网站安全总监赵武表示,网站漏洞长期不修复、缺乏专业的网站安全防护、对信息安全重视程度低等,是网站安全性较弱的主要原因。他表示,行业网站主要存在有以下几个安全缺陷:
  一、缺乏专业网站安全防护:很多公司只关注业务正常运行状态,对用户数据保护意识淡薄。不但没有专业的安全运维团队,也没有对网站做基本的安全防护,甚至只是委托给外包公司运营维护;
  二、网站漏洞长期不修复:近年来,PHPCMS、织梦CMS很多大型建站系统不断曝出的安全漏洞,也曝出影响全球网站的Struts2、OpenSSL等高危漏洞。虽然安全公司发布紧急防御措施,但是很多网站并未没有安装补丁,由此为黑客入侵提供了便利;
  三、传统的WAF防火墙防御性不足:虽然很多网站部署了传统的防火墙,但是无法拦截大多数的突发性漏洞。并且这类产品的更新升级较慢,不能满足网站威胁的瞬息万变;
  四、人为安全漏洞增多:由于缺乏专业团队,在网站维护上出现各种人为的问题。360网站安全检测上半年收到181个弱口令漏洞的反馈,占漏洞反馈总数的4.8%,此外还有大量权限设置、逻辑设计等人为原因导致的安全问题。
  正因为大量网站处于不设防状态,很多刚学习黑客技术的“菜鸟”,也能够随便拿下一大批网站权限。
  专家支招信息安全防范
  针对行业网站面临的安全问题,赵武建议网站负责人定期对网站进行安全检测,及时发现并修复网站漏洞隐患,网站也可选择使用免费的360网站卫士等防护产品,能够有效防范黑客入侵和DDoS等攻击。
  同时,赵武呼吁政府和行业监管机构加强监管,对于泄露用户数据的企业加大惩罚力度,以此推动相关行业重视和加强信息安全建设。