携程不是个案！盘点中国互联网五大最恐怖隐私泄露事故

班点水马

　　一个银 行支 付安 全漏洞，让知名旅游网站携程网成为"众矢之的"。3月22日晚间，乌云(WooYun)漏 洞平台披露了一则携程网安全漏 洞信息，指出携程网支 付过程中的调试信息可被任意黑 客读取，导致持卡人姓名、身 份 证、信 用 卡 号等信息泄 露。目前，携程客服接到咨询及要求解除银 行 卡 绑 定的电话不断，而招 行、浦发 等多家银行的信 用 卡 部也在连夜为众多银 行 卡客户更换银 行 卡。

　　各种网络平台的蓬勃发展在带来便利的同时，也让我们和网站安全紧紧绑在一起。但是，大部分人对网络安全专业知识又不太了解，造成不 良网站肆意过度收集用户信息，给网民的隐 私安全埋下可怕的隐 患。

　　而事实上，这种恐 怖的个人隐 私泄 密事件，对中国互联网来说并非首次。今天我们一起来盘点下，中国互联网五大最恐 怖的超 危泄 密事故。

　　一、360搜集用户隐私被Google抓取 上亿用户名密码外 泄

　　

　　2010年最后一天，普通用户在Google网站上搜索制定关键字，可以搜到大量中国互联网用户使用互联网的隐私记录，甚至包括和用户登陆网站或邮箱的用户名、密 码等。随后，多项证据表明，该事故的源头在于，360在通过其客户端秘密收集用户信息，由于这台服务器的配置问题，导致360不慎将记录了大量用户信息的日志文件被Google收录索引，造成用户信息大规模外 泄。

　　根据金山公司的统计，此次泄 密事故共导致3亿网民面临隐 私信息被窃取的风险。由于该服务器可以在互联网直接访问，可能所有被上传的用户数据都已经被各类黑 客、电脑爱 好 者、潜在的破坏者下 载。因此，造成了不可估量的损失。

　　而在去年11月，乌云又公布了一份360隐 私 漏 洞信息：360一漏 洞致使用户名和密码可被任意修改，该漏 洞危及360手机卫士、360云盘、360浏览器云同步，并可泄 露通讯录、短信、通话记录等。泄 露的信息中甚至有某女明星账号。同时，爆料者还表示测试了360几个高官的邮箱，结果发现360高官并未使用360的产品。

　　二、CSDN、天涯、支 付 宝多家网站密码外泄门

　　

　　2011年12月，CSDN、多 玩、世纪佳缘、走秀等多家网站的用户数据库被曝 光在网络上，由于部分密码以明文方式显示，导致大量网民受到隐 私泄 露的威 胁。

　　12月25日，事件继续升级，乌云漏洞平台再次爆出天涯社区4000万用户资料泄露，用户明文密 码泄 露。之后，天涯社区在网站上发表致歉信。

　　12月29日，传言当当网1200万完整用户数据已经泄露，包括用户真实姓名、注册邮箱、收货地址、电话等信息。同时，用户数据最为重要的电商领域，也不断传出存在漏 洞、用户泄露的消息，乌云报告称，支 付 宝用户大量泄露，被用于网络营销，泄露总量达1500万～2500万之多，泄露时间不明，里面只有支 付 用户的账 号，没有密码。

　　三、如家、七天2000万条客户开房信息遭泄露

　　

　　2013年10月，如家、七天等连 锁 酒 店被网曝有多达2000万条客户开房信息遭泄露。

　　据《新京报》2013年10月20日报道，10月18日，实名认证的新浪微博账户@股社区发布了一个名为"查开房"的网址。只需输入姓名或身 份 证 号，即可查询到包括身 份 证 号、生日、地址、手机号、邮 箱、公司、登 记日期等真实信息。

　　事发一周前，国内安全漏 洞监测平台乌云(WooYun.org)发布报告，称多家酒店开 房记录被无线上网认证管理系统供应商--浙江慧达驿站网络有限公司存储，并因系统有漏洞而存在泄露隐患。慧达驿站公司确认曾存在漏 洞并已修复，并称未造成开房记录等住客个人信 息泄 露。

　　四、圆通百万快递单网上出售

　　

　　2013年11月，圆通速递近百万条快递单个人信息在网络上被公开出售，网上甚至还出现了专门交 易快递 单 号的网站，如"淘 单114""淘 铺 发""淘 单网""单 号吧"等。在这些网站，每个单号都被明码标价，"批发价"最低四角，俨然已成为一种"产业"。据记者调查，每天在网上交易的快递单号高达3万个左右。

　　犯罪分子在购买快递单信息后，即可从事不法行为。2013年3月份，家住深圳罗湖的虞峰(化名)托朋友给自己快递七部价值总计8400元的联想手机，但苦等几日，都不见手机寄到。虞峰一查物流信息竟发现，手机已被"自己"领走。最终公安调查发现，原来，犯罪嫌疑人范某购得虞 峰的信息后，立即联系制造了虞峰的身 份 证件，在确认快件到达快递公司网点，尚未进入派送之时，以假 证 件骗过快递公司员工后，直接领走虞峰的七部手机，随后将手机变卖。

　　五、携程"泄密门"：过度收集用户银 行 卡信息

　　

　　3月22日，乌云漏洞平台发布消息称，携程系统存技术漏洞，可导致用户个 人 信 息、银 行 卡信息等泄露。据乌云平台称，携程将用于处理用户支 付的服务接口开启了调试功能，使部分向银 行验 证 持 卡所有者接口传输的数据包均直接保存在本地服务器。漏 洞泄露的信息包括用户的姓名、身 份 证号 码、银 行 卡类别、银 行 卡 卡 号、银 行 卡CVV码(即卡 号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字)，上述信息有可能被黑 客所读取。

　　根据银联2008年发布的《银 联 卡收单机构账户信息安全管理标准》规定，各收单机构系统不得存储银 行 卡磁 道信息、卡 片验证码、个人标识代码(PIN)及卡片有效期等敏感账户信息。携程记录用户信 用 卡信息的"过度收集信息行为"，直接导致了此次信 用 卡读取高 危危机。

　　一位安全领域技术高管表示，携程网本次泄 密事件的严重程度远远超过CSDN泄密事件。CSDN是数据库数据泄 漏，而这次是日志数据泄漏，更严重的是，日志数据里记录跟钱相关的详细数据。