您现在的位置CCCITY > 新闻中心 > 法制|案件 > 正文

硕士多次摇号未中黑指标办网站 获92万个手机号(2)

2013-10-11 08:49  来源:新京报

  非法获取92万余手机号步骤

  1

  在网上搜出北京地区手机号段的起止范围,找到5000多万个手机号,并写“攻击”程序,还找了300多个代理IP写入程序

  2

  利用网络远程控制技术及自编软件,在北京市小客车指标调控管理信息系统网站上,模拟“忘记密码”的申请人,在“找回密码”项目中填写手机号

  3

  如果手机号是在网站上注册过的摇号申请人,该号码会自动保存,如果未注册过,则看到“手机号码未注册”字样。共获取92万余个可用号码

  4

  在获取的92万余条手机号码中,向其中的7000多个号码群发短信,推广其研发的“小兵挂号”软件

  ■ 事件回顾

  2012年12月23日凌晨3时许至中午,许多购车摇号的市民手机上收到了落款“小客车指标办”发送的6位“短信验证码”,一些市民误以为中签 了,还有市民认为信息被泄露。随后,小客车指标办在网站发布信息称,发送验证码是系统一项服务功能,对摇号申请人没有影响。之后,又发布“二度声明”称, 是系统被恶意骚扰,并强调申请人信息没有泄露。

  ■ 说法

  用户信息被利用 网站有责任

  DCCI互联网研究院院长刘兴亮介绍,张利斌的攻击是模拟用户的行为,对于系统来说,就好像一个用户在使用“找回密码”功能,如果网站对这方面防范不强,批量窃取信息很容易实现。

  他举例说,就如同设置邮箱密码的“安全级别”一样,如果用一串数字做密码,用软件从1到10不停比对,利用计算公式可以几秒内演算出来,而数字 和字母的组合则需要一两年,加上符号可能需要十几年才能演算出来。此前摇号网站只需要输入一串手机号,防范级别不高,容易被攻破。

  刘兴亮认为,对于摇号网站这种涉及公众身份信息的网站,更应该增加防范级别。因防范不慎被犯罪分子利用,网站的维护者是有责任的。因此,希望掌握隐私信息的网站一定要做好安全防范,增强责任心。

  ■ 体验

  网站已升级 需加输证件号

  昨日,记者进入小客车指标调控管理信息系统,点击“找回密码”功能,需要填写“证件号码”、“手机号”、“图片验证码”之后,才能“点击获取短信验证码”。填写完毕,1分钟内,记者输入的手机号便收到“小客车指标办”的6位验证密码。

  据介绍,这是在2012年12月23日,该网站被攻击后,交通委加强了系统安全防护功能。

  记者获悉,摇号网站的短信验证码发送功能需要向中国移动支付每条0.05元的费用,正常每日发送量为4000余条,费用是交通委承担,但此次张利斌的恶意攻击,使向用户发送信息量大量增加,造成不必要损失达4.7万元。

  本版采写/新京报记者 刘洋

(不满摇号政策 硕士黑“指标办”网站)

上一页  1  2 
新闻 | 长春 | 吉林 | 社会 | 教育 | 事故 | 法治 | 视频 | 新鲜事 | 北京 | 国际 | 房产 | 历史 | 娱乐 | 科技 | 农业 | 网贷 | 情感 | 健康 | 招聘 | 推广 | 供求 | 出兑