妇幼网站曝高危漏洞 百万孕产妇信息面临泄露风险

时间:2014-07-08 15:48
妇幼网站曝高危漏洞 百万孕产妇信息面临泄露风险
                                                               
                                                                                                                             来源:360库带计划
      
        妇幼保健所开通网站本来是便民之举,但如果网站漏洞百出,不法黑客可以轻易入侵网站获取用户资料,那么反而会给这些孕产妇带来严重的广告骚扰甚至诈骗威胁。最近,一个名为“破晓_阿罪”的白帽子发现某市妇幼保健所网站存在高危漏洞,网站数据库存在泄露风险,保守估计涉及该市上百万名孕产妇信息。

为防止漏洞被不法黑客恶意利用,“破晓_阿罪”通过360库带计划向国家互联网应急中心紧急通报该漏洞信息,并由国家互联网应急中心联系网站进行修复。

公共服务网站漏洞威胁个人信息安全

据白帽子反馈,某市妇幼保健所网站存在一个很低级的“文件上传”漏洞。利用网站的一个公开网址,黑客可以上传恶意程序,获取网站数据库的用户名和密码,从而窃取到该保健所存储记录的孕产妇身份信息,也就是俗称的“拖库”。

如果不法分子获取到孕产妇在保健机构的信息,就能得到孕产妇姓名、年龄、地址、电话及分娩记录等一系列信息,这会给不法分子带来丰厚的收入。2008年,深圳就有不法分子将4万多条孕产妇信息制成光盘销售,每条记录售价达到0.3元,主要销售对象是一些经营妇幼产品的商家和广告中介。

由于该漏洞影响严重,360网站安全检测平台“库带计划”接到漏洞报告后,第一时间将漏洞细节提交给国家互联网应急中心处理。360网站安全工程师draGxn表示,很多妇幼保健机构的网站是外包公司负责建设,缺乏专业团队运维,“这个漏洞可能是运维人员为了上传广告方便而预留的页面,但是没有做权限控制,所以导致任何人都可以访问利用。”

draGxn建议网站管理员,尽快修改网站文件上传和数据库链接权限,并配置360网站卫士等网站安全防护产品,可以有效拦截黑客入侵。

360库带计划帮助网站消灭安全隐患

白帽子是网络安全的建设者而非破坏者,通过360库带计划、乌云等第三方漏洞平台,白帽子能够更及时地推动网站修复漏洞。

draGxn表示,近年来,由网站漏洞而引发的数据库泄露事件频频曝出,各大知名互联网公司都未能避免,广大网民更是深受其害。为了推动网站加强安全防护能力,2013年3月份,360网站安全检测平台推出“库带计划”,悬赏白帽子帮助厂商发现并修复漏洞。

据统计,过去一年内,360“库带计划”收到了127个白帽子报告的1596个有效漏洞,帮助178个厂商修复了安全漏洞,涉及所有主流建站系统和大量知名网站,保护了数百万网站免受黑客侵害。