据央视《每周质量报告》,近日杭州警方破获一起非法买卖个人信息案件,犯罪嫌疑人利用一些快递公司网站的低级漏洞,窃取1400余万条用户数据并在网上售卖,而该嫌疑人仅仅是一名在校学生,由此也引发了人们对快递数据安全性的担忧。
来自360网站安全检测平台的信息也显示,国内快递公司的网站安全性普遍较差。除了央视曝光部分小型快递公司网站存在漏洞以外,一些知名大型快递公司的网站也频繁出现高危漏洞,这也暴露出快递物流等传统行业在信息化建设方面存在一定安全缺陷。
据白帽子反馈,申通快递、全晨快递、亚风快递等公司官网以及国家邮政局快递业务经营许可管理信息系统,分别存在用户快递单信息泄露、SQL注射、远程代码执行等不同类型漏洞。这些漏洞都会直接威胁用户数据库等敏感资料。尽管这些漏洞信息已第一时间通报相关快递公司,部分漏洞至今仍未得到修复。
360网站安全总监赵武表示,“比高危漏洞更可怕的是,一些快递公司缺乏基本的安全意识,也没有专业的安全运维团队,无法及时发现和处理安全问题。”据介绍,保护网站数据安全的成本并不高,市面上有多家网站安全产品可供选择,360也早在2011年就推出了免费的360网站卫士,可以防范黑客入侵攻击。
不过由于国内网站大多只关注业务发展,对于信息安全则没有给予足够重视,这也导致大量网站根本没有进行基本的安全防护,可以被中学生或者刚学习黑客技术的“菜鸟”轻易入侵。
赵武认为,快递业务关系到大量用户的隐私数据,具有责无旁贷的保护义务。快递公司应该建立严格的安全防护措施,主管部门也应加强对快递公司的监督,对窃取和倒卖个人信息的不法分子给予严厉的惩处。
对于普通用户来说,由于使用快递必须填写个人信息,赵武建议收发快递最好使用一个统一的“化名”,不要把真实姓名提交给一些安全性很差的快递公司去裸奔,这样可以最大程度降低自己被诈骗的风险。