📖 ZKIZ Archives

澳人口普查網站疑遭攻擊 隱私信息安全獲高度關註

當地時間周二晚8點左右,當1600萬澳大利亞人想登陸人口普查網站填寫資料時,彈出的卻是一張顯示系統“過載”的錯誤頁面,之後網站徹底崩潰。數百名憤怒民眾聯系了當地媒體,講述自己如何花費半個多小時在線填寫各種數據,卻不幸遇到網站崩潰、數據全部丟失的情況。

澳大利亞統計局(下稱“ABS”)表示,網站服務器已經停止響應,而且“所有人都遇到了情況,並不只有某一個人”。

網站崩潰40分鐘後,ABS在官方推特上表示:“ABS和普查局網站目前運行中斷。我們正努力恢複服務,將及時通報最新消息。”

周二晚些時候,統計局表示當晚可能無法恢複網站運營。“ABS和普查局網站目前無法登陸。今晚服務無法恢複。我們將在明天上午通報最新消息,並為所帶來的不便致歉。”

過去24小時內,#cesusfail(#統計局網站崩潰)的標簽下已經有超過8萬條推文。這些推文出現的高峰為周二晚間9點30分,大致為每分鐘300條的速度出現。

周二下午,2016人口普查負責人鄧肯·楊(Duncan Young)還曾表示,普查日進展“非常順利”,在線表格將為納稅人節省1億美元以上。澳大利亞每五年進行一次全民人口普查,其收集的數據成為政府分配醫療、教育、交通、基礎設施等資源的重要依據。

澳大利亞政府方面表示,由於網站崩潰導致未能按期提交表格的澳大利亞民眾不會被罰款,9月23日之前填妥提交即可。此前有媒體報道稱,這次澳洲人口普查堪稱史上最嚴,如果未能在9月中旬之前提交相關信息,將會收到罰單,每延誤一天罰款180澳元。如果提交的信息錯誤或存在誤導性,則罰款1800澳元。

熟悉大型網站鋪設和架構的堪培拉軟件性能專家布賴布納(Paul Brebner)表示,時間和財力投入的限制,以及出於隱私考慮而未使用跨國雲對網站進行備份等原因可能是導致此次網站崩潰的部分原因。

布賴布納表示,統計局可能低估了高峰期間試圖登錄網站的人數。“如果說24小時內1600萬人陸續登錄,那是沒問題的,但網站的實際荷載情況並不是這樣的。”據他估算,高峰期每小時約有300萬人同時在線。

海外黑客攻擊?

當地時間周三上午,首席統計師大衛·卡利希(David Kalisch)在接受ABC電臺采訪時表示:“這是一次攻擊,我們認為攻擊來自於海外……很顯然是出於惡意的。”卡利希稱,統計局網站受到了4次“分布式拒絕服務攻擊”(DDoS),這是一種試圖令在線系統崩潰從而使用戶無法登陸的攻擊手法。前三次攻擊導致網站出現一些小問題,但並沒有阻止200萬張普查表格“成功遞交和安全存儲”,但第四次攻擊後,由於系統中存在的安全漏洞,網站不得不進行關閉處理。

據卡利希稱,網站崩潰主要是由幾個原因造成:系統的位置封鎖保護未能起作用、路由器硬件出現故障、且監控系統中出現了一些“我們需要調查的請求命令”。

卡利希補充說:“我可以向澳大利亞民眾保證,你們所提交的數據都是安全的。”

但據負責人口普查的部長邁克爾·麥考麥克(Michael McCormack)表示,這“並不是攻擊……不是黑客入侵”,而是試圖阻撓普查進程的一種行為。

澳大利亞國防部下屬的一家情報機構目前正在著手進行調查,但暗示說可能很難找到攻擊來源。

花了960萬美元不起作用?

IT和網絡安全專家並不認為DDoS攻擊是導致此次網站崩潰的原因。DDos是Dos攻擊的一種,黑客通常會采用大量特洛伊賬戶來使系統不堪負荷,從而達到令系統崩潰的目的。

“令人吃驚的是,統計局網站竟然沒有防禦能力。像這樣一個大型系統,應該是有能力(防禦)的。”安全顧問亨特(Troy Hunt)在接受澳洲媒體采訪時表示,“很多時候,發起此類攻擊的都是孩子。這讓我們懷疑統計局到底采用了什麽DDoS防禦手段,顯然它沒起什麽作用。”

亨特表示,他“高度懷疑”海外黑客牽涉其中的可能性。推特上也有一群IT高手表示,周二晚上澳大利亞境內並沒有DDoS活動。

此次澳大利亞在線人口普查系統由IBM公司交付。從澳大利亞政府采購機構AusTender披露的數據來看,2014年,澳大利亞政府為IBM設計、開發和實施的這套“eCensus”系統支付了960萬美元。另外,位於墨爾本的Revolution IT公司也為該項目提供IT咨詢和“荷載測試”服務而獲得了37.8萬美元的報酬。“荷載測試”的目的即為確保網站在處理同時在線的大量訪問要求時不至於崩潰。

隱私保護為首要任務

澳大利亞隱私專員皮爾格里姆(TimothyPilgrim)將就威脅到此次人口普查的網絡攻擊對ABS展開調查。“基於這些報告,我開始按照《1988年澳大利亞隱私法案》相關規定對澳大利亞統計局就網絡攻擊開展調查。”皮爾格里姆在一份聲明中表示。

“我的首要任務是確保此次攻擊中沒有任何個人信息遭到泄露。”他說,“我的辦公室將繼續和ABS進行合作,並確保ABS采取恰當的措施來保護人口普查中收集到的個人信息。”

獨立參議員色諾芬(Nick Xenophon)發聲質疑說,這樣的事情發生之後,公眾還能信任ABS及其對隱私保護的承諾嗎?他呼籲ABS盡快解釋清楚攻擊來自於哪里,到底是黑客攻擊還是系統過載等問題。

澳大利亞影子助理財長安德魯·利(Andrew Leigh)則將此次普查網站被攻擊事件稱為“澳大利亞歷史上處理最不當的人口普查”。

PermaLink: https://articles.zkiz.com/?id=209812
Next Page
ZKIZ Archives @ 2019