目录
一、关于本次党员信息泄露事件真实性的亲自考察
二、事业单位个人信息安全问题的困境——从本人亲身经历谈起
1、初高中时期学生个人信息极其简陋的处理流程
2、法院网上立案系统的严重漏洞无人关切
三、个人信息保护面临的挑战
关于个人信息泄露的新闻,近年来频频出现在公众视野中。恰逢近期“党员信息泄露事件”成为热点,笔者欲借此文简要谈谈自己的看法。
更加重要的是,这起泄露事件是少有的与笔者本人利益直接相关的、个人信息安全领域的严重事件。涉案195万党员信息(准确数字为1,957,239)对应的自然人主要为上海范围内各基层党支部正式党员,而我本人便生活在上海,事件曝出前不久才结束了自己的入党发展对象培训班课程,故8月份偶然听闻风声时感到前所未有的震惊,十分关切该事件真实与否。
自初中以来,在从事学生工作的过程中,我便接触了许多体量较大的个人信息数据录入工作。初中时期仅涉及由excel表格统计的各个班级同学的个人信息,相关文件直接保存在学校政教处的电脑上,基本不加以任何针对信息泄露、网络工具的特殊防护。
到了高中,从事学校团委工作时,我曾接触一个名为“上海市共青团基本信息管理系统”的团员信息录入工作,本校涉及的团员人数在1000人左右,其中每个人都详细对应完整身份证数据、手机号等敏感信息。
团员信息数据库的建立和连通,一定程度上是个人信息存储环节的一种升级(从个人计算机以excel 表格形式存储的简陋方式,发展至具备一定安全防护措施的服务器存储)。基本可以判断,这项工作不仅在本校、乃至上海市推广,很可能早已于全国范围内铺开,整个系统的体量亦可能达数千万级别。然而,虽然存储环节可能建立了完整的保护措施,但各个学校的信息收集环节却面临不小的危险。于我个人而言,在从事信息录入的过程中,我可以随意保存、复制这些敏感信息,这些行为不受任何人或安全机制防范。既然如此,在信息的早期收录环节,称“敏感信息时刻处于裸奔状态”毫不过分。而这不禁令我联想到曾经在司法局的实习体验,我所在办公室的电脑,均标注了“涉密”或“非涉密”标签——重要的敏感个人信息独立于特殊设备存储,已经成为行政机关处理涉密内容的行事传统,但各个学校在处理可能同样重要的数据之时却不具备这样的条件。
早年经历的一些个人信息电子化存档工作,从当下以上帝视角看来,姑且可以视其为大数据时代的雏形,但当时关于信息保护方面的事件则极少听闻,个人信息保护方面的立法进程也仅局限于政策性文件(例如2012年《关于加强网络信息保护的决定》)。
如果说,在“大数据时代”元年的历史节点,由于人们对于个人信息保护领域所面临之危机的忽视,才导致诸多领域严重信息泄露事件的发生;那么按照近年来立法者对于个人信息安全愈发关注之趋势,网络安全领域的相关技术以及各个行业对信息安全的重视程度也应当相应提升,以尽可能减少大体量的社工库、信息泄露可能性。但去年暑期的律所实习经历,使我打破了这一错误的刻板印象。
当时,我在使用上海法院诉讼服务网进行立案时,发现在立案信息编辑页面,只要任意修改链接尾部的ID数字,即可跳转至对应的起诉状信息修改页面。当时发现这一蹊跷的漏洞时,我感到十分震惊,因为这种漏洞之存在,即相当于任何人可以直接采取技术手段,极其方便地收集上海法院诉讼服务网的所有既往立案信息乃至肆意修改,这些敏感信息包括但不限于:当事人姓名、住址、身份证号、案由信息。
在使用上海法院诉讼服务网进行网上立案的过程中,本人发现在该网站存在一个严重安全漏洞,其表现为页面SESSION鉴权机制失 :
①通过修改网页链接尾部ID可以实现“随意访问任意编号的立案修改页面”或状态查询页面,而该操作无须登陆凭证,也不检验登陆凭证(或跳转至登录页面);
②已经提交审核的立案通过这种方式可以直接进入修改页面,提交保存后,状态由“等待审核中”自动退回到“草稿”状态 ;
③使用以上操作极有可能发生当事人隐私泄露的问题,且在该种情况下利用漏洞窃取隐私基本无须任何技术含量。
摘自本人邮件
本篇文章来源于本人微信公众号: 不能使用该名称