广东网警发布“安网2016”第三期周报

05.01.2016  23:35

安网2016”网络安全专项治理行动开展第三周(2015年12月28日至2016年1月3日),共扫描检测全省重点网站及重要信息系统88个,发现存在安全问题的网站67个,高危漏洞49个,占比69%;从风险类别来看,信息泄露、XSS注入、SQL注入类漏洞是主要隐患类型,占比65.7%。教育、事业单位、文化是安全隐患存在的重灾区,占比61.2%。

一、教育类网站存在安全隐患,19家网站存在安全风险

本周排查发现,广东省内共有19家教育类网站存在安全风险,包括某教育信息网、某市艺术学校、某市中学、某市大学等教育信息网和大学、中学、小学等校园门户网站。

这些网站存在SQL注入、XSS注入、代码执行、信息泄露等高危风险漏洞。攻击者可以通过外网直接对网站进行攻击,获取有效信息和高级权限。例如:某中学网站存在高危漏洞,通过该漏洞,可获取网站大量信息,通过工具注入得到数据库中大量的考试信息表,学生健康表,学生信息表等重要信息。请各单位提高安全意识,立即排查网站漏洞,及时更新补丁,以避免信息泄露对学生与家长造成不必要影响。

二、金融网站存安全漏洞,用户订单可修改

随着经济发展,集金融产品与增值服务于一身的一体化金融网站在国内逐渐兴起,因业务全能化受到企业与个人用户青睐的同时也遭受了不法分子觊觎。在本周的排查中发现广东省某金融网站大量用户个人信息遭泄露。

该网站由于配置不当产生后台漏洞,攻击者可利用漏洞随时登陆后台窃取用户姓名、身份证号、联系方式等个人敏感信息,也可对申请贷款的订单进行审核、修改和删除,风险极大。为保护更多用户信息安全,防止对行业产生负面,请相关单位务必立即修复漏洞,提高网络安全意识,进一步加强网站安全建设。

三、弱口令问题再度出现,某重要单位数据一览无余

本周排查发现广东省某重要领域的信息系统存在弱口令问题,导致约430万公民个人隐私数据存在泄露危险。另外,该单位可被泄露数据的总数已超过之前通报的几家单位的数据泄露总和,为“安网2016”专项行动开展以来检查出来的最大数据泄露风险案例。

由于弱口令很容易被猜测或被破解,因此长期以来公安机关和各社会网络安全机构均一直强调不建议任何单位与个人使用。弱口令看似是小问题,但往往危害极大,大量案例显示,攻击者经常通过破解弱口令进入企业平台或个人账户窃取资料、挪用财务现金、修改各类资料,造成各企事业单位与人民群众的公私财产遭受损失。弱口令的根本原因还是未认识到网络安全的重要性,特此建议相关单位提高网络安全意识,立即更换密码复杂度,定期更换口令,对于批量验证行为进行技术限制,规避数据泄露风险,从细微处保障公民隐私。

四、工作建议

通过本周的检测排查,发现教育、金融行业安全问题十分突出,对企业敏感数据与公民隐私、财产安全造成极大威胁。不法分子利用漏洞,窃取敏感隐私数据,损害企业与公民权益与利益,严重影响网络健康。针对本周出现的各类安全问题,公安机关建议:

一是建立健全自律机制,强化全行业社会责任意识,提升企业服务水平,提高从业人员职业素养;

二是建立专业队伍,强化信息网络安全技术力量,严格保护企业与公民个人信息安全;

三是定期升级网络基础设施和系统开发工具,积极更新补丁预防各类安全漏洞;同时建立安全风险应急响应机制,以保证做到第一时间响应、处理,避免不必要的损失;

四是提高网络安全意识,杜绝使用过于简单的弱口令密码,在各网站系统、平台中避免使用重复密码,并定期修改加强各系统密码。

(平安南粤网 编辑:雨寒)