大风热搜网如今,数字化浪潮已经席卷了全世界,个人信息安全就像一把悬在每个人头顶的利剑,随时可能带来风险。最近,韩国研究基金会因为系统漏洞,导致12万人的隐私被大规模泄露,这一事件再次给我们提了个醒。这个隐藏了近十年的安全漏洞,不光暴露了技术上的粗心大意,更反映出相关机构责任意识的缺失。当学术平台变成黑客轻易得手的目标,当普通人的隐私在海量数据中毫无遮掩,我们不禁要思考:在享受科技带来的便利时,我们是否已经做好了足够的安全防护?本文将详细拆解这起事件的来龙去脉,希望每一个漏洞都能推动安全防护的升级,每一次警示都能让大家重视起对个人隐私的保护。
负责保护个人资料的相关委员会,对韩国国家研究基金会做出了处罚——罚款7.03亿韩元,另外还有480万韩元的罚金。之所以处罚,是因为该基金会运营的在线论文提交系统被黑客入侵,导致大约12万人的个人信息被泄露。
该委员会在29日宣布,已于28日召开了全体会议,最终决定做出这项处分。委员会认定,国家研究基金会没有尽到保护个人信息的安全义务,而且在信息泄露后,也没有充分履行通知相关人员的责任。
调查结果显示,黑客在去年6月,利用系统里学术期刊页面的“密码找回”功能漏洞,通过篡改参数、暴力破解随机邮箱的方式,获取了大约12万名会员的个人资料。被泄露的信息特别全面,包括姓名、账号、电子邮箱、手机号、银行账户等,一共44项内容。
这个论文提交系统是由国家研究基金会负责运营的,包含一个门户网站和1617个学术期刊页面。调查中发现,当“密码找回”页面网址里的邮箱地址被随意篡改时,系统竟然不用验证所有必填项目,就能直接显示出个人信息界面,漏洞十分明显。
委员会表示,这个漏洞从2013年就已经存在了,但韩国国家研究基金会长期以来都没有发现,更没有进行修复。进一步调查显示,基金会只对门户网站做了安全检测,却没有对数量众多的学术期刊页面进行单独的安全审查,这才让漏洞一直隐藏至今。
除此之外,基金会在通知受影响的用户时,还漏掉了手机号、银行账户这些关键的泄露信息,导致告知用户的内容严重不准确。更值得注意的是,部分会员在备注栏自愿填写的116条身份证号码,也没能幸免,同样被泄露了。
调查还发现,即便在遭到黑客攻击后,基金会也没有及时完善系统安全,反而继续运营该系统,这就导致会员身份被盗用等二次损害的发生,足以看出其事后应对机制存在很大的问题。
委员会最终判定,这起事件属于重大个人信息泄露事故。除了处以罚款之外,还责令基金会对系统进行全面的漏洞排查,重新向受影响用户发布通知,追究相关工作人员的纪律责任,同时向全社会公开这次的处分结果。
