中秋小长假一过,国庆黄金周紧跟着进入倒计时阶段。不少人都计划利用这7天长假到国内外旅游。无论是跟团出游,还是随心所欲的自由行,上旅游网站订团订票订酒店已经成为消费习惯。不过,360安全中心检测发现,多家旅游网站存在漏洞安全风险,可能会泄露用户的身份证号码、订单、行程等隐私信息。
360安全中心检测发现,凯撒旅游网、百程旅行网等数十家旅游网站存在密码重置、SQL注入、源码泄露、权限设置、文件上传等漏洞和后门。甚至某旅游网站不但发现存在1万多个后门,网站还被整站克隆。更郁闷的是,这1年多来,该网站负责人居然丝毫不知。
此外,很多旅游网站的APP存在明显的越权查看漏洞,导致黑客可以随意浏览不同的用户的订单内容,包括旅行时间、行程、酒店房间、消费金额在内的信息都会被泄露。并且,很多旅游APP存在密码找回服务漏洞,黑客可以无限次测试登录,直至暴力破解密码。
漏洞如不及时修复,就会泄露用户数据。去年10月,某酒店开房系统漏洞就曾导致2000万条开房信息被外泄。而据360网站安全检测平台发布的“2014上半年中国网站安全简报”显示,今年上半年国内共发现705万个网站漏洞,其中旅游行业站是重灾区。
据了解,很多旅游网站缺乏专业安全团队维护,更不注重安全漏洞的更新修复,由此导致用户数据频遭泄露。
360安全专家建议,旅游网站应建立一个专业的安全团队和规范的安全体系,并定期使用360网站安全检测给网站做体检,及时发现网站潜在安全隐患,同时为网站配置专业的云防护服务,防范黑客入侵攻击。
针对网站漏洞频发的现状,360已经推出主机卫士服务,它能及时为网站系统打补丁,进一步降低防范网站漏洞被黑客利用的机会。
