央視《每周質(zhì)量報告》節(jié)目8月10日報道稱今年3月份，杭州市一快遞公司的負責人發(fā)現(xiàn)有人在網(wǎng)上公開買賣他們公司快遞單上的用戶信息。

網(wǎng)絡安全專家瑞星公司唐威表示：“通常很多我們發(fā)現(xiàn)不注意安全的這種管理員的話，他甚至是使用比如說123456、12345678這種非常簡單的密碼，當做后臺的密碼。我們輸入用戶名，密碼123456，點擊登錄，OK 現(xiàn)在已經(jīng)登錄成功了，這就說明這個網(wǎng)站是存在弱密碼這么一個漏洞的。”

可見，利用管理員的身份進入后臺，并不等于實現(xiàn)了對整個網(wǎng)站的控制，通常網(wǎng)站后臺只是一個內(nèi)容發(fā)布平臺，要想獲得數(shù)據(jù)庫訪問權限，就需要上傳一個后門工具文件。

另外，黑客通過漏洞登陸網(wǎng)站后臺，上傳后門工具，繼而控制整個網(wǎng)站服務器，這個操作過程并不復雜，難的是如何在前期測試出網(wǎng)站存在什么樣的漏洞，繼而為己所用。

不過，像弱口令、上傳漏洞這樣的漏洞其實很初級，但是也并不少見，甚至有些大型網(wǎng)站的后臺登陸密碼就是一個弱口令，而這樣低級的漏洞一旦被黑客利用，網(wǎng)站的安全就會受到威脅。

唐威建議：快遞公司的數(shù)據(jù)庫一定要做好定期銷毀，并且在網(wǎng)站的搭建上應做好安全防范工作，并對網(wǎng)站、入口進行全面安全檢測。“像上述案件中出現(xiàn)的密碼漏洞、上傳漏洞等，如果網(wǎng)站運營負責人做過安全檢測，一定能夠發(fā)現(xiàn)”。唐威稱，許多中小型物流公司對信息安全不夠重視，因此也常常成為黑客攻擊的對象。物流公司應當做好防護工作，并在運營機制的設立上考慮安全性問題，如對不同的管理人員設定不同的訪問權限。

對于泄漏快遞公司被泄漏出去的數(shù)據(jù)庫當作了某些人的非法牟利手段，有法律專家表示：監(jiān)管缺失是個人信息遭非法買賣的原因之一。

網(wǎng)絡安全專家還告訴央視記者，這些犯罪分子竊取用戶個人信息的手段并不高明。那為什么我國個人信息被販賣的情況卻禁而不止，難以解決呢？

據(jù)了解，我國刑法在2009年將非法買賣和獲取個人信息列為刑事犯罪的新類型，并制定了相應的懲處標準。但是，有專家還指出，同非法買賣個人信息的嚴重程度相比，我國大多出地區(qū)還沒有對此類案件的立案標準，執(zhí)法和處罰的力度現(xiàn)在也遠遠不夠。

專家強調(diào)，非法買賣個人隱私信息的行為之所以屢禁不止還有一個原因就是其背后隱藏著完整的利益鏈條。許多不法分子獲取個人隱私信息后有不當?shù)美�的空間，而這些行為的違法成本又相對較小，個人信息被濫用的情況相當嚴重。因此，對濫用信息的打擊和懲處力度也是亟待解決的重要問題。

北京師范大學法學院教授劉德良說道：“垃圾電話、騷擾短信每天都很多，但是我國恰恰在這一塊上沒有相應的規(guī)定。如果國家重點打擊個人信息濫用行為，這一塊被遏制了，上述利益鏈條部分環(huán)節(jié)就沒有了動力。”（內(nèi)容整理自京華時報、央視新聞、中新網(wǎng)）

阿明點評：漏洞不漏洞，關鍵在于管理。不管是快遞公司，還是某些專業(yè)網(wǎng)站，都時常會傳出漏洞事件。事情過去了，似乎就平靜了，后期的解決方案如何了？數(shù)據(jù)庫的安全如何了？包括對于數(shù)據(jù)安全的備份情況如何了？這些問題，都是出事公司或單位CTO\CIO必須要考慮的，但是，只要過得了一時，后面慢慢做吧。

或許，某個時候，漏洞本身就不是新聞了。因為人們習以為常了，那又會怎樣？沒有私密，沒有隱私，這個世界就是一個開放自由的世界，這不正是某些人所追求的嗎？

但是，這樣的無規(guī)則的開放與自由，是以騷擾或傷害大多數(shù)人為基礎的。只要有一點點這樣的想法，就是很不純潔的表現(xiàn)。

當然了，對于某些好奇心很強的大學生，多少秒就入侵快遞公司數(shù)據(jù)庫，說來雖然牛叉，但一定要注意：如果你真的牛叉，入侵之后就不要讓所有人發(fā)現(xiàn)。哈哈。所以，對于這些好奇心重，又有鉆研精神的同學來說，我們只能嚴防死守，做好數(shù)據(jù)安全防護，里三層外三層，讓他們進得來出不去，直接將入侵者累癱瘓，這才是科技公司的牛叉之道。

因此，對于快遞公司數(shù)據(jù)庫漏洞的事情，最科學、最客觀、最理想的辦法還是主要依賴數(shù)據(jù)安全公司的舉措為是。既然沒人能做這個事情，那說明這個領域的市場很大�。繉τ谫愰T鐵克、RSA……對于瑞星、金山，不知道他們后續(xù)怎么行動？