12306懸賞漏洞:最高賞金已降至1000元
責編:admin |2014-12-29 16:24:40據中國之聲《新聞晚高峰》報道,這幾天,微信朋友圈里關于12306網站用戶信息遭泄密、趕緊改密碼的消息一時鬧得人心惶惶。國內最大的漏洞報告平臺烏云 官網25日爆出,大約13萬條12306用戶數據在互聯網上被泄露并瘋傳。這意味著黑客完全可以利用用戶12306賬號進行買票、退票等操作。
很快,在當天晚上,鐵路警方就迅速抓獲了泄密嫌疑人。雖然此后12306網站回應稱,此次信息泄露是經其他網站或渠道泄出,但就在昨天(27日),12306網站卻出現在了“補天”全球最大漏洞響應平臺上,最高“懸賞“2000元,號召網友提供漏洞信息。
重金懸賞查找網站漏洞,到底能夠幫助12306解決多少問題呢?
懸賞尋找在逃疑犯的線索,這樣的事情自古就有。而懸賞尋找自己網絡漏洞的,卻是最近幾年才冒出來的新生事物。盡管12306網站并沒有大張旗鼓地宣揚,但昨天開始,它的名字已經赫然出現在了“補天”——這個被稱作全球最大的漏洞響應平臺的首頁上。這究竟是個什么網站?它是如何獲得那么多漏洞信息的呢?360補天漏洞響應平臺中心負責人趙武作出解釋。
趙武:不止是12306,有很多廠商他都有很多安全漏洞,但是他可能沒有這個搜集的渠道,因為他不會跟成千上萬的白帽子建立一種聯系,那我們其實作用就在于跟這些成千上萬的白帽子,建立了一種比較順暢的聯系。那同時這次12306介入進來是有一個契機,因為當時白帽子已經發現了大概有幾個12306的漏洞,提交到我們平臺來了,然后我們在通知給12306過程中,12306他覺得通知的流程對他們是很有價值的,而且那些漏洞也是有價值的,于是他就說,能不能通過建立一種私有的只要有現金獎勵,白帽子發漏洞的積極性就會大很多。
趙武口中的“白帽子”聽上去就是一群網絡高手,實際上,有人認為可以將他們理解成是正義的“黑客”。他們擅長網絡技術、樂于尋找漏洞,但白帽子的做法不是依靠攻擊漏洞牟利,而是將漏洞公開、提交企業,幫助他們改善網絡。
記者今天登陸補天平臺網站看到,12306網站赫然顯示在首頁的顯著位置。截至發稿時,已經有19人提交了漏洞,發現的有效漏洞達到了16條,領走的獎金總額達到了4050元。不過,昨天最高2000塊錢的“懸賞”金額現在已經被廠家自主降低到了1000塊錢。
趙武表示,加入“私有安全”行列并提出獎金可以大大提高白帽子們提供漏洞信息的積極性。
趙武:他是一個漏洞2000他是尚不封頂,就比如說我收到一百個,那可能就是二十萬,我收到一千個可能就是兩百萬,那通過這種模式,昨天已經通報了很多,大概十幾個漏洞給12306,以后這種合作就形成一種長期有效的形式,只要有白帽子,在互聯網上發現了12306的,我們都會第一時間通知給12306進行一個修補。
而此前,有媒體報道稱,大量12306網站用戶信息遭泄露,已知公開傳播的數據庫涉及的用戶數據超過13萬條。盡管嫌疑人迅速被抓獲,也查明是利用網上別的用戶信息一個個嘗試“撞庫”得到的,相關的12306手機APP漏洞也已經修復,但由此造成的信息泄露損失卻是覆水難收了。趙武表示,在360補天平臺上建立私有安全應急響應中心可以主動防御今后再出現類似情況。
趙武:因為這個所有的目前導致的信息泄露也好,或者是黑客攻擊也好,他都是由于存在某些漏洞來的,所以我們現在這種合作以后會定期的,陸續的把這種發現的漏洞都通報給12306,他們只要進行及時的修補,撞庫它就不成功了。