2008年奧運(yùn)會(huì)舉辦 前，因?yàn)閲翌I(lǐng)導(dǎo)萬無一失的要求，北京進(jìn)行了大規(guī)模的信息系統(tǒng)安全性檢查，我參與了很多系統(tǒng)的安全性測(cè)試，遇到了這么一個(gè)案例。  

 

北京某區(qū)政府門戶網(wǎng)站上，通過搜索網(wǎng)站，找到了一個(gè)郵箱使用說明,該網(wǎng)頁說明了如何使用區(qū)政府公務(wù)員郵件系統(tǒng)。其中有以下描述：  
---------------------------------------------------------------------    
在地址欄輸入http://www.xxxxxxx.gov.cn，按回車鍵登陸北京xx網(wǎng)站。如圖1所示，選擇公務(wù)員郵箱，輸入郵箱名，郵箱密碼默認(rèn)為 六個(gè)1，鼠標(biāo)單擊登陸。例如，選擇公務(wù)員郵箱，在用戶名處輸入tjjbgs，密碼輸入111111，單擊登陸即可進(jìn)入統(tǒng)計(jì)局辦公室的郵箱。
 ---------------------------------------------------------------------    

 

從這一段描述中，可以獲得以下信息，郵箱命名方式一般用中文拼音的第一個(gè)字母，密碼默認(rèn)六個(gè)1,那么對(duì)于攻擊者，只要在網(wǎng)上找找，就能找到區(qū)重要領(lǐng)導(dǎo)名 字、重要部門的名稱，再據(jù)此進(jìn)行攻擊。不過在本次測(cè)試中不需要，因?yàn)閹椭f明最后給出了區(qū)重要領(lǐng)導(dǎo)的郵件地址（編寫者是為了方便人員發(fā)郵件，直接告訴別 人，給哪個(gè)部門發(fā)郵件發(fā)哪個(gè)郵箱等）。對(duì)這些公布的郵件進(jìn)行了簡(jiǎn)單的口令測(cè)試（大綱只測(cè)了五分鐘后），有重要領(lǐng)導(dǎo)的郵箱密碼尚未改變，有兩位領(lǐng)導(dǎo)已經(jīng)改變，不過改得有些簡(jiǎn)單，123456，與沒改一樣。登錄進(jìn)行，看到了給領(lǐng)導(dǎo)發(fā)的匯報(bào)材料，請(qǐng)示之類的。還好我只是測(cè)試人員，不是XX功人員，否則以此領(lǐng)導(dǎo) 的郵箱群發(fā)個(gè)XX功的宣傳郵件，我想在當(dāng)時(shí)保奧運(yùn)的嚴(yán)格要求形勢(shì)下，應(yīng)該反應(yīng)會(huì)比較激烈，后果很嚴(yán)重。 

 

從鐵人王進(jìn)喜照片泄密案到現(xiàn)在的影星隱私泄露表明，很多時(shí)候，信息安全問題是在不經(jīng)意間產(chǎn)生的。公開的信息會(huì)出賣你的，不要太不以為意，信息安全如是，生活中如是。