日照马拉松隐私泄露事件解读:事件还原 + 技术分析 + 跑者隐私保护建议

640-19

2026年7月1日,2026日照马拉松报名通道开启后,报名系统出现严重信息泄露——选手在支付环节能看到上百名陌生跑者的姓名、身份证号、手机号、血型、紧急联系人等完整隐私。这不是一起普通的”系统卡顿”,而是一起典型的Web应用安全失效事件。本文还原事件经过,做技术层面的拆解,并给跑者一份可操作的隐私保护清单。


一、事件还原:半小时刷出一百多份陌生人信息

1. 时间线

时间
事件
7月1日 10:00
2026日照马拉松报名通道正式开启(先到先得、不抽签)
约 10:30
有跑者登录小程序填写信息后进入支付阶段,发现支付列表显示的是其他选手的完整信息
退出重进后
系统又换了一个陌生人的信息,反复出现
约 30分钟内
该跑者重复操作,先后刷到一百多份他人报名信息
约 1小时后
该跑者才最终报名成功
当天约 12:00
运营方称系统漏洞已修复
7月2日
日照马拉松组委会发文致歉,宣布信息泄露的跑友可全额退款

来源:澎湃新闻、海峡都市报(网易号转载)、川观新闻

2. 泄露了什么

被泄露的信息字段相当完整,远超”姓名+手机号”的级别:

  • 姓名
  • 身份证号
  • 手机号
  • 性别
  • 血型
  • 紧急联系人姓名
  • 紧急联系人与参赛者关系
  • 紧急联系人联系方式

这意味着,任何一个同时在线报名的人,理论上都能批量”翻看”上百名陌生人的核心身份信息与紧急联系人信息。对于别有用心者,这些数据足以实施精准电信诈骗、身份冒用或社会工程攻击。

3. 各方回应

  • 日照马拉松组委会
    7月2日发文致歉,称报名小程序瞬时访问流量一度突破预设承载阈值,导致出现信息查询异常;系统安全漏洞已修复;信息泄露的跑友可全额退款。(搜狐专题、凤凰网)
  • 日照体育发展集团有限公司工作人员
    系小程序技术问题,已于当天中午12时左右修复。
  • 日照市体育局
    经运营单位反馈,因报名开启后涌入用户过多,系统在交叉认证环节出现”串流”,导致信息错乱;针对信息泄露问题正在研究处理。(海峡都市报)

二、技术分析:所谓”串流”到底是什么

官方用了一个相对模糊的词——”交叉认证环节出现串流”。从Web应用安全的角度看,这指向的是一类经典且高危的漏洞:会话/请求上下文串流(Session/Request Context Bleeding),往往伴随不安全的直接对象引用(IDOR)

1. 什么是”串流”

在高并发场景下,服务器同时处理大量请求。如果后端在处理某个用户的请求时,错误地把另一个用户的数据挂到了当前请求的上下文里,就会出现”A用户看到了B用户数据”的现象。这次事件中,跑者在支付环节看到的不是自己的订单,而是别人的——这正是请求上下文被”串”到了别的用户数据上。

技术上的常见根因有几类:

  • 共享可变状态(Shared Mutable State)
    后端使用了全局变量、静态变量、线程局部缓存或对象池来暂存”当前用户订单”,但在高并发下没有正确隔离,导致不同请求读到同一份被污染的数据。
  • 缓存键冲突(Cache Key Collision)
    订单/用户信息被缓存时,缓存键设计不当(例如只用了一个自增ID或时间戳),不同用户的请求命中了同一个缓存条目。
  • 会话/Token复用
    认证态在连接复用(如HTTP keep-alive、连接池)时未正确切换,把上一个会话的身份带进了下一个请求。
  • IDOR(Insecure Direct Object Reference)
    支付页通过订单ID等参数直接查询数据,且缺少归属校验——只要参数指向别人的订单,系统就老老实实把别人的数据返回来。

2. 为什么是”支付环节”暴露

支付环节通常是订单确认页,需要回显订单详情(姓名、身份信息、紧急联系人等)供用户核对。这个页面一次性聚合了大量敏感字段,且回显逻辑依赖”当前订单归属当前用户”这一前提。一旦上下文串流或IDOR发生,支付页就成了泄露面最大的出口。

3. 为什么”退出重进就换一个人”

这个细节很关键:退出重进后看到的是另一个陌生人的信息,说明问题不是”某一条数据被写死”,而是每次请求随机命中了缓存池/对象池里不同位置的其他用户数据。这高度符合”共享可变状态在高并发下被竞争读写”的特征——每次请求拿到的都是当时恰好被污染的那份上下文。

4. 漏洞等级评估

从安全工程角度,这属于高危级别:

  • 机密性
    大量PII(个人身份信息)明文泄露,包含身份证号、手机号、紧急联系人——足以构成《个人信息保护法》意义上的”敏感个人信息”泄露。
  • 可利用性
    无需任何黑客技术,普通报名者正常操作即可触发,门槛极低。
  • 影响面
    上百名跑者信息泄露,且泄露字段完整。
  • 合规风险
    涉及身份证号等敏感信息的处理,可能触发《个人信息保护法》《数据安全法》相关义务,运营方需承担泄露通知、补救、记录等法定责任。

5. 根因不在”流量大”,在”设计缺陷”

运营方把原因归结为”瞬时访问流量突破承载阈值”,这容易让公众误以为是”服务器被挤爆了”。但流量大只是触发条件,不是根本原因。一个设计正确的系统,在高并发下应当返回错误、排队或限流,而不是把别人的数据返回给你。真正的问题是:后端在并发场景下没有做好请求上下文隔离与数据归属校验。把锅甩给”流量”,是避重就轻。


三、跑者隐私保护建议

事件已经发生,跑者无法改变平台的安全水平,但可以降低自身信息被泄露后的危害。以下建议分”报名时”和”泄露后”两个层面。

1. 报名时:最小化 + 隔离

  • 能用一次性信息就别用主力信息
    • 手机号:准备一个专门用于赛事报名的副号(虚拟号或低频使用的实体号),避免泄露后主力号被骚扰。
    • 邮箱:同理,用专用邮箱或别名邮箱。
  • 紧急联系人慎填
    • 紧急联系人字段往往要求真实姓名+关系+电话。建议提前征得对方同意,并告知”你的信息会随我提交给赛事系统”。
    • 如非强制,紧急联系人电话也可用副号或家庭中相对低敏感的号码。
  • 身份证号无法替代,但可控制暴露面
    • 赛事报名通常必须实名+身份证号,这部分无法回避。但你可以:只在官方/可信报名渠道填写;警惕任何非官方链接、二手代报名、社群里的”代报”服务——这些往往是钓鱼或数据倒卖的重灾区。
  • 支付环节核对
    • 进入支付页时,先看一眼回显的订单信息是不是自己的。如果出现陌生人信息,立即截图留存证据,不要继续支付,并退出登录。
  • 密码与账号隔离
    • 如果报名平台要求注册账号,不要复用其他平台的密码。马拉松报名平台的安全投入普遍有限,一旦数据库泄露,撞库攻击会波及你其他账号。

2. 泄露后:监测 + 止损

  • 留存证据
    • 截图、录屏,记录时间、操作路径、看到的信息字段。这些是后续维权、投诉的依据。
  • 向赛事方主张权利
    • 要求全额退款(本次事件组委会已承诺)。
    • 要求书面说明泄露范围、原因、补救措施。根据《个人信息保护法》第57条,个人信息处理者发现泄露应主动通知个人,你有权要求其履行通知义务。
  • 向监管部门投诉
    • 可向网信部门(12377违法和不良信息举报)或12345市民热线反映,推动行政监管介入。
  • 监测身份滥用
    • 关注个人征信报告(可通过中国人民银行征信中心查询),留意异常查询/开户记录。
    • 对陌生来电、短信保持警惕,尤其是自称”赛事组委会””公安””快递”并要求进一步提供信息的。
    • 泄露的身份证号+姓名+手机号组合,可能被用于冒名注册App、办理低门槛金融产品、实施精准诈骗。建议:
  • 通知紧急联系人
    • 如果你填的紧急联系人信息也被泄露,主动告知对方,让其对接下来的陌生联系保持警惕。

3. 给行业的呼吁

这起事件不应止于”退款致歉”。马拉松报名系统处理的是数以万计跑者的敏感个人信息,其安全水平理应达到与金融、政务系统相当的标准。行业层面需要:

  • 上线前安全测试
    高并发压测 + 渗透测试 + IDOR专项审计,应成为赛事报名系统的强制门槛。
  • 数据最小化
    支付回显页是否真的需要显示完整身份证号、血型、紧急联系人?应推行脱敏显示(如身份证号只显示后4位)。
  • 独立审计与披露
    发生泄露后,应由独立第三方出具安全审计结论,而非运营方自查自辩。

结语

日照马拉松这起事件,技术上并不”高级”——它甚至不是被黑客攻击,而是系统自己在高并发下把用户数据”串”给了陌生人。正因为不高级,它才更值得警惕:当一个处理数万人敏感信息的系统,连最基本的请求上下文隔离都没做好,说明整个赛事报名行业的安全水位还很低。 跑者能做的是自我防护,但真正该补的,是平台的安全设计与监管的底线要求。

本文事件经过与各方回应均基于公开报道,技术分析部分为基于公开信息的合理推断,不代表官方结论。

延展阅读

2026日照马拉松隐私泄露事件始末

组委会官方说明

日照市体育局相关工作人员表示,经运营单位反馈,因报名开启后涌入用户过多,系统在交叉认证环节出现“串流”,导致信息错乱。当天已修复完毕,针对报名选手信息泄露问题等问题,官方发布如下说明:

亲爱的各位跑友:

山河藏热爱,奔跑见初心。2026日照马拉松迎来十周年赛事,长久以来,广大跑友始终热忱相伴、信任相守,是赛事不断成长、稳步前行的最大底气。对于本次赛事报名期间出现的系统异常问题,2026日照马拉松组委会向全体跑友致以最诚挚的歉意。

本次赛事报名启动后,广大跑友响应热烈、参与踊跃,远超我们的预期,瞬时访问流量一度突破预设承载阈值,导致报名小程序出现阶段性过载,部分跑友在操作过程中遭遇页面卡顿、加载延迟、信息查询异常等情况。给大家带来的不便,我们深感愧疚、深表自责。在此,也真诚感谢每一位跑友的批评与指正。您的每一次等待与包容,我们都铭记于心,定竭尽全力不负大家对日照马拉松的热爱。

问题发生后,组委会高度重视,第一时间联动技术团队启动紧急排查与全面抢修工作。截至2026年7月1日14:30,本次排查发现的所有系统安全漏洞已全部彻底修复,报名系统完成全面优化调试,目前运行状态稳定、功能恢复正常,可充分保障后续各项赛事相关操作有序开展。

为切实保障每一位跑友的合法权益,全力弥补本次失误造成的不便,组委会特此开通专项便民服务:凡是因本次系统故障导致个人信息泄露的跑友,均可联系组委会无条件全额退款;同时,对于所有受本次系统异常影响的报名信息,组委会将无条件协助纠错与修正,确保每位跑友的报名权益。

十年奔跑同行,初心始终未改。组委会将以更严谨的态度、更专业的技术、更细致的服务打磨赛事细节,持续推进系统软件迭代升级、完善安全防护体系、优化参赛体验,回馈万千跑友的长久热爱与笃定信任。

2026日照马拉松组委会

2026年7月2日

24小时服务热线:0633-7676975

💡 温馨提示:本站所有赛事资讯、图文内容仅作信息参考,不构成专业参赛、医疗及消费投资建议。站内文字与图片来源于公开网络、用户投稿及原创创作,版权归原作者所有。如有版权侵权或内容异议,请通过站点联系方式告知我们,我方将及时下架处理。

⚠️ 赛事免责:跑步吧paobuba.com仅为赛事信息展示与报名推广技术平台,不承办线下赛事;场地安全、医疗保障、退费纠纷、意外责任均由赛事主办方全权承担,请理性参赛、自行购买保险。感谢所有跑友与合作方的理解与支持!
滚动至顶部