快遞數據庫被曝存漏洞 專家建議網購時可用化名
責編:admin |2014-08-14 13:59:35對于經常網購的網民而言,收發快遞則是網購中不可避免的步驟,但是由于快遞涉及到的大量個人信息,如今網購中收發快遞也出現了不安全的跡象。
近日杭州警方破獲一起非法買賣個人信息案件,犯罪嫌疑人利用一些快遞公司網站的低級漏洞,竊取1400余萬條用戶數據并在網上售賣,而該嫌疑人僅僅是一名在校學生,由此也引發了人們對快遞數據安全性的擔憂。
來自360網站安全檢測平臺的信息也顯示,國內快遞公司的網站安全性普遍較差。除了央視曝光部分小型快遞公司網站存在漏洞以外,一些知名大型快遞公司的網站也頻繁出現高危漏洞,這也暴露出快遞物流等傳統行業在信息化建設方面存在一定安全缺陷。
據白帽子(指對網絡技術防御的人)反饋,申通快遞、全晨快遞、亞風快遞等公司官網以及國家郵政局快遞業務經營許可管理信息系統,分別存在用戶快遞單信息泄露、SQL注射、遠程代碼執行等不同類型漏洞。這些漏洞都會直接威脅用戶數據庫等敏感資料。盡管這些漏洞信息已第一時間通報相關快遞公司,部分漏洞至今仍未得到修復。
360網站安全總監趙武表示,“比高危漏洞更可怕的是,一些快遞公司缺乏基本的安全意識,也沒有專業的安全運維團隊,無法及時發現和處理安全問題。”據介紹,保護網站數據安全的成本并不高,市面上有多家網站安全產品可供選擇,不過由于國內網站大多只關注業務發展,對于信息安全則沒有給予足夠重視,這也導致大量網站根本沒有進行基本的安全防護,可以被中學生或者剛學習黑客技術的“菜鳥”輕易入侵。
趙武認為,快遞業務關系到大量用戶的隱私數據,具有責無旁貸的保護義務。快遞公司應該建立嚴格的安全防護措施,主管部門也應加強對快遞公司的監督,對竊取和倒賣個人信息的不法分子給予嚴厲的懲處。
對于普通用戶來說,由于使用快遞必須填寫個人信息,趙武建議如果消費者在網購時收發快遞最好使用一個統一的“化名”,不要把真實姓名提交給一些安全性很差的快遞公司去裸奔,這樣可以最大程度降低自己被詐騙的風險。