最近，市民小张比较郁闷，她与丈夫的亲昵短信被人发布到了论坛上，而泄露他们短信记录的竟然是黑客……

　　黑客利用漏洞窃取用户短信记录

　　“老公，我现在就要”，“宝贝乖，晚上买给你”….小张与丈夫的来往短信，与其他几百人短信记录同时出现在一个论坛上。经过多方紧急处理，相关论坛及时删除了这些被曝光的短信内容和手机号码。但是小张却很苦恼：手机一直在身边，没有借给他人，也没有送去维修，手机里的短信是被谁偷窃到的呢？

　　经过重重排查发现，原来是电信运营商官网遭入侵，黑客下载复制了用户的短信记录和手机号码后，然后随手发布到了论坛上，其中就包含小张的短信记录。这个结果不禁让小张大吃一惊。

　　据了解，用户的手机号码和短信记录一般是保存到运营商的网站数据库内，除运维管理人员外，其他人是无法查询下载到的。“如果网站存在重大安全漏洞，黑客就能够利用漏洞进入获取到跟运维人员一样的管理权限，然后进入到电信运营商的数据库，下载到用户的手机号码、短信聊天记录等等”，一位网络安全专家表示。

　　据补天漏洞响应平台统计显示，从今年6月份以来，某电信运营商被发现了300多个漏洞，这些漏洞不只是会泄露用户信息，还会造成远程攻击、被植入钓鱼页面而已木马等等威胁。而就在本月4日，白帽子“august”更是向该电信运营商提交了一个高危的SQL注入漏洞。该漏洞能够使黑客直接获取到1700万用户的短信记录、800万用户电话号码和身份号码等敏感信息。随后的12月5日，该电信运营安全服务中心确认了该漏洞情况，并表示将进行相应修复。

　　虽然不能确定小张的手机短信是某一个漏洞导致，但可以确认的是：这些漏洞已经被白帽子发现和修复前或已被黑客利用，由此导致用户的手机号码和短信记录泄漏。

　　漏洞泄露用户，是否该追责企业？

　　因网站漏洞泄露网友信息这已经不是第一次。今年快递网站泄露1400万用户信息、去年某酒店系统泄漏2000万条客户开房记录等等，都是因为网站漏洞导致。不仅给网友造成重大损失，也给相关企业造成了直接或者间接的经济损失。而据《2013年中国网站安全报告》的数据显示，国内超过95%的网站存在漏洞，超过40%的网站存在后门。

　　面对层出不穷的漏洞问题，微软、Google、360等公司均设立了SRC(安全应急响应中心)，发动有贡献精神的白帽子提交漏洞，以保证企业最快发现漏洞，最大程度保障企业网络安全。同时，针对大部分企业没有建立SRC的现状，360还推出了补天漏洞响应平台，提出帮助企业建立自己的SRC。

　　此外，国家也在加强用户信息保护方面的立法。“国家已经立法强调企业保护用户信息的重要性，企业如果因安全措施不够而泄露用户信息的话，将会受到重罚”，法律专家谢成表示，最新颁布的刑法修正案(九)(草案)第二百八十六条之一规定，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门通知采取改正措施而拒绝执行，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。“以后再发生手机短信遭黑客窃取泄露的事情，用户可以直接追究企业的责任”。

　　随着法律法规的不断完善，以及企业对于信息安全保护的重视和补天等第三方SRC平台的建立，三管齐下将有效保障公民个人信息安全。