北京市小客车指标调控管理信息系统网站在公布摇号结果后,由于其网站设计的bug,在查询信息的时候会造成信息泄漏,例如这个报道有介绍。有中签者发现,登录系统后通过网页浏览的方式查看其中签通知书时,自己的申请编码会显示在页面地址栏URL中(以ID=XXX的形式),如果将其他中签者的申请编码(摇号结束后已公示)在ID上替换,也会看到该中标者的通知书。由于通知书中有涉及个人的隐私信息,这意味着其他人的姓名、身份证号、驾驶证档案编号都可能被泄露。不过,后来北京交通委紧急处理了。
这个案例属于典型的一类由于系统设计失误导致的信息泄露事件,与我之前多次提及的(信息窃取和盗用)案例有所不同。但是这也是一个很重要的导致信息泄露的原因,需要在系统开发生命周期中做好安全检查工作,例如代码安全检查。
【参考】
【数据安全案例】案例汇总
