携程不是个案！盘点中国互联网五大最恐怖隐私泄露事故

娃很爱箭

一个银行支付安全漏洞，让知名旅游网站携程网成为“众矢之的”。3月22日晚间，乌云(WooYun)漏洞平台披露了一则携程网安全漏洞信息，指出携程网支付过程中的调试信息可被任意黑客读取，导致持卡人姓名、身份　证　、信用卡号等信息泄露。目前，携程客服接到咨询及要求解除银行卡绑定的电话不断，而招行、浦发等多家银行的信用卡部也在连夜为众多银行卡客户更换银行卡。

各种网络平台的蓬勃发展在带来便利的同时，也让我们和网站安全紧紧绑在一起。但是，大部分人对网络安全专业知识又不太了解，造成不良网站肆意过度收集用户信息，给网民的隐私安全埋下可怕的隐患。

而事实上，这种恐怖的个人隐私泄密事件，对中国互联网来说并非首次。今天我们一起来盘点下，中国互联网五大最恐怖的超危泄密事故。

一、360搜集用户隐私被Google抓取 上亿用户名密码外泄



2010年最后一天，普通用户在Google网站上搜索制定关键字，可以搜到大量中国互联网用户使用互联网的隐私记录，甚至包括和用户登陆网站或邮箱的用户名、密码等。随后，多项　证　据表明，该事故的源头在于，360在通过其客户端秘密收集用户信息，由于这台服务器的配置问题，导致360不慎将记录了大量用户信息的日志文件被Google收录索引，造成用户信息大规模外泄。

根据金山公司的统计，此次泄密事故共导致3亿网民面临隐私信息被窃取的风险。由于该服务器可以在互联网直接访问，可能所有被上传的用户数据都已经被各类黑客、电脑爱好者、潜在的破坏者下载。因此，造成了不可估量的损失。

而在去年11月，乌云又公布了一份360隐私漏洞信息：360一漏洞致使用户名和密码可被任意修改，该漏洞危及360手机卫士、360云盘、360浏览器云同步，并可泄露通讯录、短信、通话记录等。泄露的信息中甚至有某女明星账号。同时，爆料者还表示测试了360几个高官的邮箱，结果发现360高官并未使用360的产品。

二、CSDN、天涯、支　付　宝多家网站密码外泄门



2011年12月，CSDN、多玩、世纪佳缘、走秀等多家网站的用户数据库被曝光在网络上，由于部分密码以明文方式显示，导致大量网民受到隐私泄露的威胁。

12月25日，事件继续升级，乌云漏洞平台再次爆出天涯社区4000万用户资料泄露，用户明文密码泄露。之后，天涯社区在网站上发表致歉信。

12月29日，传言当当网1200万完整用户数据已经泄露，包括用户真实姓名、注册邮箱、收货地址、电话等信息。同时，用户数据最为重要的电商领域，也不断传出存在漏洞、用户泄露的消息，乌云报告称，支　付　宝用户大量泄露，被用于网　络　营　销，泄露总量达1500万～2500万之多，泄露时间不明，里面只有支付用户的账号，没有密码。

三、如家、七天2000万条客户开房信息遭泄露



2013年10月，如家、七天等连锁酒店被网曝有多达2000万条客户开房信息遭泄露。

据《新京报》2013年10月20日报道，10月18日，实名认　证　的新浪微博账户@股社区发布了一个名为“查开房”的网址。只需输入姓名或身份　证　号，即可查询到包括身份　证　号、生日、地址、手机号、邮箱、公司、登记日期等真实信息。

事发一周前，国内安全漏洞监测平台乌云(WooYun.org)发布报告，称多家酒店开房记录被无线上网认　证　管理系统供应商——浙江慧达驿站网络有限公司存储，并因系统有漏洞而存在泄露隐患。慧达驿站公司确认曾存在漏洞并已修复，并称未造成开房记录等住客个人信息泄露。

四、圆通百万快递单网上出售



2013年11月，圆通速递近百万条快递单个人信息在网络上被公开出售，网上甚至还出现了专门交易快递单号的网站，如“淘单114”“淘铺发”“淘单网”“单号吧”等。在这些网站，每个单号都被明码标价，“批发价”最低四角，俨然已成为一种“产业”。据记者调查，每天在网上交易的快递单号高达3万个左右。

犯罪分子在购买快递单信息后，即可从事不法行为。2013年3月份，家住深圳罗湖的虞峰(化名)托朋友给自己快递七部价值总计8400元的联想手机，但苦等几日，都不见手机寄到。虞峰一查物流信息竟发现，手机已被“自己”领走。最终公安调查发现，原来，犯罪嫌疑人范某购得虞峰的信息后，立即联系制造了虞峰的身份　证　件，在确认快件到达快递公司网点，尚未进入派送之时，以假　证　件骗过快递公司员工后，直接领走虞峰的七部手机，随后将手机变卖。

五、携程“泄密门”：过度收集用户银行卡信息



3月22日，乌云漏洞平台发布消息称，携程系统存技术漏洞，可导致用户个人信息、银行卡信息等泄露。据乌云平台称，携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验　证　持卡所有者接口传输的数据包均直接保存在本地服务器。漏洞泄露的信息包括用户的姓名、身份　证　号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字)，上述信息有可能被黑客所读取。

根据银联2008年发布的《银　联　卡收单机构账户信息安全管理标准》规定，各收单机构系统不得存储银行卡磁道信息、卡片验　证　码、个人标识代码(PIN)及卡片有效期等敏感账户信息。携程记录用户信用卡信息的“过度收集信息行为”，直接导致了此次信用卡读取高危危机。

一位安全领域技术高管表示，携程网本次泄密事件的严重程度远远超过CSDN泄密事件。CSDN是数据库数据泄漏，而这次是日志数据泄漏，更严重的是，日志数据里记录跟钱相关的详细数据。