ENGLISH 4006-WOSIGN
首页>安全资讯>澳大利亚人口普查网站疑遭攻击,政务网站信息安全获高度关注

澳大利亚人口普查网站疑遭攻击,政务网站信息安全获高度关注

当地时间周二晚8点左右,当1600万澳大利亚人想登陆人口普查网站填写资料时,弹出的却是一张显示系统“过载”的错误页面,之后网站彻底崩溃。数百名愤怒民众联系了当地媒体,讲述自己如何花费半个多小时在线填写各种数据,却不幸遇到网站崩溃、数据全部丢失的情况。

澳大利亚统计局(下称“ABS”)表示,网站服务器已经停止响应,而且“所有人都遇到了情况,并不只有某一个人”。

网站崩溃40分钟后,ABS在官方推特上表示:“ABS和普查局网站目前运行中断。我们正努力恢复服务,将及时通报最新消息。”

周二晚些时候,统计局表示当晚可能无法恢复网站运营。“ABS和普查局网站目前无法登陆。今晚服务无法恢复。我们将在明天上午通报最新消息,并为所带来的不便致歉。”

过去24小时内,#cesusfail(#统计局网站崩溃)的标签下已经有超过8万条推文。这些推文出现的高峰为周二晚间9点30分,大致为每分钟300条的速度出现。

周二下午,2016人口普查负责人邓肯·杨(Duncan Young)还曾表示,普查日进展“非常顺利”,在线表格将为纳税人节省1亿美元以上。澳大利亚每五年进行一次全民人口普查,其收集的数据成为政府分配医疗、教育、交通、基础设施等资源的重要依据。

澳大利亚政府方面表示,由于网站崩溃导致未能按期提交表格的澳大利亚民众不会被罚款,9月23日之前填妥提交即可。此前有媒体报道称,这次澳洲人口普查堪称史上最严,如果未能在9月中旬之前提交相关信息,将会收到罚单,每延误一天罚款180澳元。如果提交的信息错误或存在误导性,则罚款1800澳元。

熟悉大型网站铺设和架构的堪培拉软件性能专家布赖布纳(Paul Brebner)表示,时间和财力投入的限制,以及出于隐私考虑而未使用跨国云对网站进行备份等原因可能是导致此次网站崩溃的部分原因。

布赖布纳表示,统计局可能低估了高峰期间试图登录网站的人数。“如果说24小时内1600万人陆续登录,那是没问题的,但网站的实际荷载情况并不是这样的。”据他估算,高峰期每小时约有300万人同时在线。

或遭海外黑客攻击

当地时间周三上午,首席统计师大卫·卡利希(David Kalisch)在接受ABC电台采访时表示:“这是一次攻击,我们认为攻击来自于海外……很显然是出于恶意的。”卡利希称,统计局网站受到了4次“分布式拒绝服务攻击”(DDoS),这是一种试图令在线系统崩溃从而使用户无法登陆的攻击手法。前三次攻击导致网站出现一些小问题,但并没有阻止200万张普查表格“成功递交和安全存储”,但第四次攻击后,由于系统中存在的安全漏洞,网站不得不进行关闭处理。

据卡利希称,网站崩溃主要是由几个原因造成:系统的位置封锁保护未能起作用、路由器硬件出现故障、且监控系统中出现了一些“我们需要调查的请求命令”。

卡利希补充说:“我可以向澳大利亚民众保证,你们所提交的数据都是安全的。”

但据负责人口普查的部长迈克尔·麦考麦克(Michael McCormack)表示,这“并不是攻击……不是黑客入侵”,而是试图阻挠普查进程的一种行为。

澳大利亚国防部下属的一家情报机构目前正在着手进行调查,但暗示说可能很难找到攻击来源。

花了960万美元不起作用

IT和网络安全专家并不认为DDoS攻击是导致此次网站崩溃的原因。DDos是Dos攻击的一种,黑客通常会采用大量特洛伊账户来使系统不堪负荷,从而达到令系统崩溃的目的。

“令人吃惊的是,统计局网站竟然没有防御能力。像这样一个大型系统,应该是有能力(防御)的。”安全顾问亨特(Troy Hunt)在接受澳洲媒体采访时表示,“很多时候,发起此类攻击的都是孩子。这让我们怀疑统计局到底采用了什么DDoS防御手段,显然它没起什么作用。”

亨特表示,他“高度怀疑”海外黑客牵涉其中的可能性。推特上也有一群IT高手表示,周二晚上澳大利亚境内并没有DDoS活动。

此次澳大利亚在线人口普查系统由IBM公司交付。从澳大利亚政府采购机构AusTender披露的数据来看,2014年,澳大利亚政府为IBM设计、开发和实施的这套“eCensus”系统支付了960万美元。另外,位于墨尔本的Revolution IT公司也为该项目提供IT咨询和“荷载测试”服务而获得了37.8万美元的报酬。“荷载测试”的目的即为确保网站在处理同时在线的大量访问要求时不至于崩溃。

隐私保护为首要任务

澳大利亚隐私专员皮尔格里姆(TimothyPilgrim)将就威胁到此次人口普查的网络攻击对ABS展开调查。“基于这些报告,我开始按照《1988年澳大利亚隐私法案》相关规定对澳大利亚统计局就网络攻击开展调查。”皮尔格里姆在一份声明中表示。

“我的首要任务是确保此次攻击中没有任何个人信息遭到泄露。”他说,“我的办公室将继续和ABS进行合作,并确保ABS采取恰当的措施来保护人口普查中收集到的个人信息。”

独立参议员色诺芬(Nick Xenophon)发声质疑说,这样的事情发生之后,公众还能信任ABS及其对隐私保护的承诺吗?他呼吁ABS尽快解释清楚攻击来自于哪里,到底是黑客攻击还是系统过载等问题。

澳大利亚影子助理财长安德鲁·利(Andrew Leigh)则将此次普查网站被攻击事件称为“澳大利亚历史上处理最不当的人口普查”。

相关资讯:

电子政务信息安全解决方案

英国所有的政府网站将默认启用HTTPS加密

美国政府网站将强制实现全站HTTPS加密

英美政府网站强制要求HTTPS加密,值得我国借鉴