今日，烏云漏洞作者“路人甲”提交了一個題為《國內(nèi)考研130W報名信息泄漏事件》的漏洞，并表示該漏洞導(dǎo)致泄露的信息正在被黑產(chǎn)利用。目前，漏洞已交由cncert國家互聯(lián)網(wǎng)應(yīng)急中心處理。

“路人甲”表示，出售的用戶信息截止到2014年11月份的130W考研用戶，而且數(shù)據(jù)已經(jīng)被多次專賣，經(jīng)過與賣家了解，數(shù)據(jù)泄漏了考研用戶的姓名、手機(jī)、座機(jī)、身份證、住址、郵編、學(xué)校、專業(yè)等敏感數(shù)據(jù)，并且表明已經(jīng)不是第一手?jǐn)?shù)據(jù)了。

據(jù)悉，2015年全國碩士研究生招生考試將于2014年12月27日至29日舉行。碩士研究生招生考試報名包括網(wǎng)上報名和現(xiàn)場確認(rèn)兩個階段。根據(jù)報名要求，所有參加2015年碩士研究生招生考試的考生均須進(jìn)行網(wǎng)上報名，并到報考點(diǎn)現(xiàn)場確認(rèn)網(wǎng)報信息、繳費(fèi)和采集本人圖像等相關(guān)電子信息。

實(shí)際上早在上個月，烏云平臺就提交了一個名為“2015年研究生報名考試網(wǎng)站信息泄漏(一百多萬考生信息告急)”的漏洞，該漏洞的發(fā)現(xiàn)利用了遍歷BMH文本搜索算法，烏云平臺已將細(xì)節(jié)通知了因漏洞而泄出數(shù)據(jù)的網(wǎng)站。但一個多月過去，問題似乎依然存在。

據(jù)了解，中國研究生招生信息網(wǎng)的主管單位是教育部高校學(xué)生司，主辦單位是全國高等學(xué)校學(xué)生信息咨詢與就業(yè)指導(dǎo)中心。網(wǎng)站的承辦方為中國高等教育學(xué)生網(wǎng)。

BMH算法

實(shí)現(xiàn)從文本中搜索模式，返回其最小出現(xiàn)的位置;

1. 搜索文本時，從后到前搜索;

2. 如果碰到不匹配時，移動模式，重新與文本進(jìn)行匹配;

3. 如果與模式完全匹配，返回在文本中對應(yīng)的位置;

4. 如果搜索完文本仍然找不到完全匹配的位置，則返回-1，即查找失敗。

原文地址：http://www.aqniu.com/threat-alert/5772.html