你的身份信息是这样被运营商泄露的”网帖是真是假
有网文称,利用收集到的账号密码可登录运营商内部系统,还可任查用户个人信息;据了解,中国联通cBSS系统,是集中业务支撑系统,与总部20套生产系统、31个省份403套本地生产系统进行上下交互与联动。
有网文称,利用收集到的账号密码可登录运营商内部系统,还可任查用户个人信息;联通表示若核实会报警处理
深圳新闻网讯近期,随着打击网络个人信息犯罪专项行动的陆续披露,市民对个人信息的议题愈发关注。通过实行实名制,运营商几乎掌握了所有手机用户的个人信息。而当前电信诈骗的源头,就是个人信息泄露。运营商能确保这些个人信息的安全吗?不少网友认为,运营商应该强化用户个人信息的能力。有律师表示,因相关法律责任不甚明确,在很多个人信息泄露事件中,一般电信运营商并不会受到相应的法律,国家在立法层面应尽快出台个人信息相关法律。
近日,市民刘先生向晶报报料称,网上惊现一则“你的身份信息是这样被运营商泄露的”的自文章引发热议转载,不知。
该文章作者自称是“白帽子”,即正面的黑客,他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。这样,系统将可以在被其他人利用之前来修补漏洞。
据“白帽子”介绍,他利用收集到的一个叫“xinghy10”的账号及相应的密码,在随意一台电脑登录后,就可选择相关省份登录中国联通cBSS支撑系统。登录后权限还不小,“白帽子”发现危害比较大的一点是可进行任意身份查询——包括根据姓名查询到手机号,根据身份证号码查询到个人名下所有号码,根据手机号查询到用户信息(产品、服务、账户、邮寄、协议、属性、个人)。
据该文章作者描述,利用该系统,根据身份证号码和姓名还可查询全国身份信息。在文章内,他截图演示,使用几个真实姓名和身份证号码输入查询,竟然都查到了该用户的身份证件照。
据了解,中国联通cBSS系统,是集中业务支撑系统,与总部20套生产系统、31个省份403套本地生产系统进行上下交互与联动。
记者尝试在不同的3台电脑输入该系统网址,按照提示进行操作,下载安装包工具,解压安装完成后再重新打开浏览器,均可以登录系统首页,但需要输入员工工号及密码才能进行下一步操作。
有网文称,利用收集到的账号密码可登录运营商内部系统,还可任查用户个人信息;据了解,中国联通cBSS系统,是集中业务支撑系统,与总部20套生产系统、31个省份403套本地生产系统进行上下交互与联动。
昨日,记者就此事向中国联通客服人员询问,对方回应:公司的内部网络都有专门的防火墙及技术人员在负责网络安全,是不会造成用户个人信息泄露的,“网上鱼龙混杂,什么样的人都有,网上信息不一定准确,若核实有此事,我们相关部门也会报警处理。”
对于用户信息安全的保障,客服人员告诉记者,“像银行一样,有相关的规章制度保障用户信息财产,你的钱存进银行里,无缘无故没了,你可以找银行投诉处理,我们这边也有同样的制度”。
对于网上的这一情况,刘先生认为,电话卡实名制得到了市民的响应。但他也心存忧虑,认为一些电信运营商对个人信息安全的工作做得不够。
他表示,这种能随时查阅到个人信息的内部系统,在网上随便就能登录,一旦被网络高手破解,或者内部员工不经意泄露了登录账号密码,马上就会大规模的个人信息被,让诈骗有机可乘,实在过于轻率。运营商是否应该多设几道技术保障的?或者应该把这样的登录端口设置为只在内部局域网可查询才对。
转载该文章的网友“元气少女虞喵喵”质疑,类似运营商这样的基础设施在给用户带来便利的同时,身份证、手机号码这些关乎每个人隐私的信息安全又该作何?
有网文称,利用收集到的账号密码可登录运营商内部系统,还可任查用户个人信息;据了解,中国联通cBSS系统,是集中业务支撑系统,与总部20套生产系统、31个省份403套本地生产系统进行上下交互与联动。
广东俨道律师事务所商事部刘律师认为,该文章爆料网友通过黑客技术进入电信运营商内部系统的行为涉嫌违法。同时,这种未经用户本人同意公开个人信息的行为若具有主观恶意,导致用户肖像权、名誉权或在上、经济上受到一定程度损害的,则属于侵害他人隐私权的侵权行为,须承担相应的法律责任。
刘律师还提到,我们也应注意到在很多个人信息泄露事件中,电信运营商都负有不可推卸的责任,但由于我国关于个人信息的散见于各法律法规和规范性文件中(如《刑法修正案(九)》、《侵权责任法》、《关于加强网络信息的决定》、《电信和互联网用户个人信息》等),相关法律责任不甚明确,除非问题特别严重,一般电信运营商并不会受到相应的法律。
在他看来,面对信息化时代个人隐私这一重要课题,除了电信运营商应建立规范的用户隐私信息分类分级管理机制和信息安全监督审核机制,强化员工信息安全意识外,更为重要的是,国家在立法层面应尽快出台个人信息相关法律,明确个人隐私数据的边界,明确数据存储、处理、查询、使用的规则,明确数据的主体责任,明确数据泄露和的处罚方式等。
晶报记者关注到,今年,深圳市消委会发布《电信行业电话业务不公平格式条款评议》,当中就提及,中国联通对用户号码、宽带账号等个人信息被后,存在着责任排除过于绝对化的问题。
据《中国联通业务客户入网服务协议》第四条第二款,甲方(客户)应妥善保管自己的用户号码、通信卡、终端、宽带账号,若发现丢失或被,可及时拨打客户服务电话或到乙方(运营商)营业网点办理暂时停机或修改账号密码手续;并可向机关报案,乙方应配合机关调查,但乙方不承担上述情形对甲方造成的后果;如甲方将名下号码交予他人使用,因此引起的义务与责任仍由甲方承担。
此外,《中国联通业务客户入网服务协议》第四条第三款则提出,甲方(客户)应妥善管理其通信服务密码,服务密码是甲方办理业务的重要凭证,甲方入网后应立即修改初始密码,凡使用服务密码定制,变更或终止业务的行为均被视为甲方或甲方授权的行为,因此引起的义务与责任均由甲方承担。
市消委会表示,以上条款内容过于绝对化,完全排除了运营商可能承担的责任,因为发生用户号码、通信卡、终端、宽带账号丢失或被的情形,有可能是客户自身的原因导致的,也有可能是运营商内部监管不力或未采取适当的安全保障措施造成的,对于运营商的造成用户号码、通信卡、终端、宽带账号丢失或被的,运营商仍须承担相应的责任。
同时,市消委会认为,在运营商知道消费者服务密码被遗失或被盗的情况下,运营商作为电信服务的管理者应采取必要的方式,防止消费者的损失进一步扩大,如果运营商未尽到必要的管理义务,在扩大损失的范围内仍需承担责任,如用户手机丢失,电话卡挂失后仍通过服务密码定制、变更或终止业务的,运营商也是需要承担相应责任。
推荐: