一 : 慈铭及国药阳光体检网站漏洞 可致报告信息泄露
新浪科技讯 4月21日上午消息,根据互联网安全平台freebuf网站称,漏洞盒子平台近期收到白帽子提交的报告显示,慈铭体检中心网站严重安全漏洞可导致所有用户体检报告泄露,另外,国药阳光体检中心网站存在相当多严重且未修复的安全漏洞,也可致用户体检信息泄露,甚至在其网站上可看到上传时间为2012年的疑似木马后门程序。
慈铭体检中心漏洞:可导致所有用户体检报告泄露
慈铭体检中心网站严重安全漏洞可导致所有用户体检报告泄露
慈铭体检中心网站严重安全漏洞可导致所有用户体检报告泄露 漏洞盒子平台近期收到白帽子“爆破小王子”提交的漏洞报告(vulbox-2015-06516),慈铭体检中心网站严重安全漏洞可导致所有用户体检报告泄露,包括个人基本信息(姓名,身份证号,手机号,年龄,工作单位,邮件地址,通信地址,职业,病史),体检汇总分析,体检详细结果等个人隐私信息。
由于官网的上查询到的体检报告就是实际收到的纸质报告。简而言之,去过慈铭体检,用户的体检报告都可能被第三方获取。
国药阳光体检中心网站漏洞仍未修复:用户体检信息或泄露
国药阳光体检中心网站存在相当多严重且未修复的安全漏洞
国药阳光体检中心网站存在相当多严重且未修复的安全漏洞 根据白帽子提交的漏洞报告(vulbox-2015-02535),国药阳光体检中心网站存在相当多严重且未修复的安全漏洞,白帽子甚至在其网站上看到上传时间为2012年的疑似木马后门程序。
此体检平台涵盖了:保险,证券,金融 各种事业单位、企业单位等全国范围的人员体检信息。
白帽子提醒,体检平台一般会记录用户的体检信息,姓名,联系电话,生日,身份证号码等各种信息的泄露对个人隐私造成威胁,也可能会被某些从事药品推销的人员盯上。
二 : 当当网买书信息遭泄露,男子被骗10万元
7月28日,有当当网用户向记者爆料称,在当当网下单买书后仅一天,个人信息就被骗子掌握,骗子利用详细的订单信息博取自己的信任,引导自己进入假网站,输入银行信息后,被转走约十万元。[www.61k.com]当当网对此回应称,可能是用户邮箱被盗导致信息泄露。
买书信息成诱饵,用户掉进假网站陷阱
7月25日上午,深圳的郭先生在当当网下单买了4本书。第二天下午2点40分左右,接到了一个自称当当网客服人员的电话,告诉郭先生昨日的订单因系统问题付款未成功,需转成货到付款,且要进入退款系统申请,把之前付的钱退回。
“他知道我前一天全部的购买信息。买了哪四本书、花了多少钱、下单时间、我的电话住址都知道,所以我才相信了他。”郭先生对记者说。“而且通话过程中可以听到对方周围环境里有很多人在打电话说付款的问题,像客服呼叫中心的氛围。”
郭先生进入对方发来的“退款系统”,输入姓名、账户信息、密码等资料后,点击下一步,进入验证码页面,郭先生的手机随即收到了银行发来的短信验证码。
输入验证码后,系统显示验证超时,请稍后获取。郭先生连续获取了三次,终于显示退款成功。
直到此时,郭先生还没有察觉被骗。大约五个小时后,郭先生在查看自己账户时,才发现少了十万元。
郭先生输入三次验证码,转账金额依次为49999元、49999和4949元,短短几分钟内账户共被划走104947元。
“那网站简直和当当网站一模一样。”郭先生说,“还因为他知道我的订单信息,我就更不怀疑了。来验证码没多想就直接输入了。”
据调查,郭先生的钱转入的账号户名为王丹妮,开户行是贵州农业银行某支行。
责任难划定,用户维权难
郭先生随后致电当当网,客服人员回应称:“这个事和我们没有关系,属于你的个人行为。如果警察需要我们协助,我们可以配合。”
而郭先生认为,自己前一天买书,第二天详细的订单信息就到了骗子手里,当当网是有责任的。
对此,中国互联网协会信用评价中心法律顾问赵占领称:“用户和电商网站间是合同关系,网站有基本义务保证用户的信息安全。如果因为网站对信息保管不善,最终导致用户信息泄露,对用户造成损失的,网站应该承担赔偿责任。”
“但是用户很难证明是当当泄露的信息,这里的责任比较难以划定。”赵占领向记者解释。
“泄露有多重可能,有可能是网站技术上有漏洞或管理上有问题,导致用户信息泄露,也有可能是用户这端因为电脑中毒或其他途径。这也是用户维权最大的困难。”赵占领说。
当当回应称或因用户邮箱被盗
记者联系当当网方面,当当网相关负责人对记者承认,最近确实收到一些相关的反馈,内部也在进行排查,目前看到的最多的原因是一些用户的邮箱被盗泄露信息问题。
这位负责人向记者介绍,信息被泄露的用户集中使用了某一两个邮箱对当当网进行了注册,而骗子所掌握的信息可能来自当当网给用户发到注册邮箱中的订单信息。
“通过邮箱,骗子可以随时知道你账户的变动,你买了什么。”该负责人对记者说。
这位负责人还对记者表示,当当网一直在践行着保护用户隐私的义务,“我们一直在通过各种渠道告知消费者,我们从来不会用电话短信等方式通知用户退货退款,并提醒用户提高警惕。”
对于已经造成损失的用户是否负有责任,该负责人表示,这个责任需要警方来判定,明确泄露的渠道到底是什么,然后才能确定。
而对于可能的信息泄露途径,360首席工程师郑文彬分析称,可能是邮箱被盗致信息泄露,也有可能是网站自己技术的漏洞所致。
三 : 如何处理网上个人信息泄露?
[网上个人信息泄露]如何处理网上个人信息泄露?网友水波对[网上个人信息泄露]如何处理网上个人信息泄露?给出的答复:
谢邀。
社会工程学的本质其实是信息收集与利用,根本上是一种骗术,由于其与网络安全技术的紧密性不是特别大,以至于利用社会工程学为主的缺乏技术含量的网络犯罪行为在这几年内有泛滥的势头。
总的来看,国内社会工程学或者说信息收集的发起点无非是以下几个:网名,注册ID,注册邮箱,QQ号,真实姓名,社交网络等。以下逐个来分析一下:
网名:作为网络用户首要的识别符号,由于网民们本身就讨厌网名跟人重复,往往会想一些具有特别性和唯一性的名字在各个网络平台上反复使用。这样就导致很容易通过搜索引擎将使用相同网名的网络用户在各个不同平台上所留下的不同线索关联起来。因此在一些不太重要的网络平台上,可以考虑使用一个或两个便于记忆又没有太多相似性的网名进行活动。
注册ID:基本上与网名的意义近似,但由于现在的网络产品设计中很多都将注册ID默认作为网络邮箱的用户名,这也给垃圾邮件泛滥或者猜测注册邮箱的行为提供了方便。另外,注册ID很多都使用了字母+数字的命名方式,数字方面有很多人使用生日或者QQ号,这也是很错误的行为。防范方式同上, 在一些不太重要的网络平台上,可以考虑根据平台运用的不同,使用多个便于记忆而又没有太多特殊性的ID进行注册。
注册邮箱:随着我国整体网络安全意识的提高,单纯通过搜索引擎就能查到用户注册邮箱的方式基本上不太多见了。但由于垃圾邮件的自动性和批量性,在网络安全界的“背阳面”已经存在了海量的用户名库和密码库的情况下,使用一个用户名,然后自动往各大邮件服务提供商的相应邮件地址发送垃圾邮件的方式也是理所当然的。在这点上我能做的建议只是,私人与工作邮箱,尽量不要在网页中公开;注册用邮箱或者网友联系邮箱,可以用gmail,对垃圾邮件的拦截效果相对更好一些。
QQ号:QQ号是中国网民泄露个人信息最常见的渠道。首先是在各种论坛与社交网络中,个人资料中往往会要求或建议填写QQ号,这便为潜伏于社区中的不怀好意者提供了信息。另外,由于QQ邮箱(的确还算好用)在我国很大数量的网民中是作为首选默认邮箱所使用的,在各种论坛、社区的帖子中被经常回复在帖子中以获得某些资源。这些都为社工提供了从社区内容、QQ资料、QQ空间等渠道获得个人信息的绝好途径。现在很多人都有不止一个或者两个QQ,可以考虑用一个特别的QQ号专用于在网络公开或半私密空间进行联络。
真实姓名(手机号码)与社交网络:这东西其实是社工最终变成“人肉搜索”的一个突破点。我相信大多数网民在上网时对自己的真实姓名的提供还是有所保留的,但说实话作为一个专业的信息安全工作者,对这点我也是最无可奈何的。我们即使可以控制自己不去那些要求真名注册的社交网络如人人网或者征婚网一类,但我们没法控制那些知道我们真实姓名的“别人”把我们的身份泄露出去,人类这种动物总是对别人隐私的保全兴致缺缺的。因为我们没法不在使用电子商务网站时不使用真名,否则我们无法付款也无法收货;我们也没法不在使用网上订票订房网站时使用真名,否则我们无法登机或者入住。在这种时候,作为个人用户来说,在保守自己个人最基本也是最根本的隐私信息其实是相当无力的,只能指望那些持有我们个人信息的组织和企业们能有着足够的能力和意识为我们保守秘密。但很遗憾,在这个问题上我是很悲观的,我国个人身份信息泄露情况的严重性从每个人都感同身受的电话诈骗和垃圾短信上便已经很明显了。我们所能做的,也许只能是在网络里小心翼翼做人,而不去招惹麻烦了吧?
说那么多废话,总结下来的观点其实是,网络里的每个人都不要对自己个人隐私信息的安全情况抱持任何乐观态度,也许你的个人隐私并非没有泄露,而只是它的非法持有者觉得尚未到使用它的时机而已。
抱歉,作为业内人士,我真的太悲观了点。
网友匿名用户对[网上个人信息泄露]如何处理网上个人信息泄露?给出的答复:
怎样把一滴水藏起来……答案是放到大海里面去
有时间多注册几份假简历,把家庭地址换成临近几个公安局的,把联系电话换成贵市公检法从业人员手机,爱人肉人肉去吧
网友徐来清对[网上个人信息泄露]如何处理网上个人信息泄露?给出的答复:
立一个稻草人,然后把所有的线索引向稻草人。
小心精神分裂╮(╯_╰)╭
网友蒙面大侠对[网上个人信息泄露]如何处理网上个人信息泄露?给出的答复:
非极端重要网站,一律采用10分钟邮箱······且登录密码设置为123456
网友蒙面大侠对[网上个人信息泄露]如何处理网上个人信息泄露?给出的答复:
额,之前有不记名卡的时候用那玩意注册过一些网站。至于邮箱的话随便起个名字用呗。
各个网站尽量不要用相同用户名,不要透露自己的QQ手机号等,网上发照片尽量将地址信息隐去,不要发自己的照片,网站对个人信息保密全开,域名保护开。
网友李浩对[网上个人信息泄露]如何处理网上个人信息泄露?给出的答复:
现在所有的网站都希望留下手机号,然后邮箱,然后qq,然后现在手机实名制了。然后会被不会有人建立一个庞大的数据库。然后把这些形成一个大的表单或者数据库。然后,就可以查询每个人都干了些什么~说了些什么~什么时间到什么地方了(手机GPS)
网友Jingling Wang对[网上个人信息泄露]如何处理网上个人信息泄露?给出的答复:
只要登陆网络,就没有隐私可言。
网友田宗起对[网上个人信息泄露]如何处理网上个人信息泄露?给出的答复:
这个怎没有办法。各个互联网应用各自为政,信息当然存在着泄露的危险。
网友李超对[网上个人信息泄露]如何处理网上个人信息泄露?给出的答复:
注册ID推荐使用这个模式,固定的字段加上网站的名称,
比如《结果抬》的作者,采用的“caobaoxue”“caowangyi”……
这样相同ID无法找到相似的信息。QQ邮箱推荐关闭数字@http://qq.com,使用字母@http://qq.com
真实姓名和手机号码有的时候确实无解。
网友匿名用户对[网上个人信息泄露]如何处理网上个人信息泄露?给出的答复:
我觉得中国这种没有个人信息保护的状态下,不出现一个人一件事是无从改变的。我们能做的只有自己小心。除了上面大家说的方法之外,突然觉得3卡3待的手机很重要。一个号只给至亲至友,一个号社会化开放但只用来工作,还有一个号用来注册各种网络上的东西,快递单的收件人电话等等。
不过除了各个互联网站的泄露,最大的泄露应该是来自运营商的吧。
网友蒙面大侠对[网上个人信息泄露]如何处理网上个人信息泄露?给出的答复:
最大信息泄露源头是招聘网站。QQ上的信息是真是假谁知道啊?简历的话那是不可能造假的。58同城上简历可以随便看。注册一个企业帐户也不用钱。所以最好不要把简历都公开。
网友徐英捷对[网上个人信息泄露]如何处理网上个人信息泄露?给出的答复:
我认为,直接放弃这个想法。因为根据大数据的交叉检验,个人在网络上是全然没有隐私的。
网友匿名用户对[网上个人信息泄露]如何处理网上个人信息泄露?给出的答复:
说实话 大数据时代 网上有自己的整个人生 除了填写要注意之外 定期check也是一种方法吧 现在有一款叫心安的App,是可以直接检索网上存在的个人风险信息的,可以试试。
61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1