12306用戶信息泄露責任在誰
責編:admin |2014-12-29 16:43:22正值春運搶票白熱化階段,12306網站用戶數據信息發生大規模泄漏。事發后,12306以及第三方搶票軟件雙方各執一詞,均認為此次用戶信息被泄漏與己方無關。即便嫌犯迅速落網,但互聯網信息安全再次敲響警鐘。
泄漏風波
在從網上拿到12306網站泄漏的用戶信息之后,李杰第一時間便查詢了里面是否有他的注冊ID。
“我拿到的txt文本里,約有13萬用戶信息,查了一下,發現里面沒有我的,我也就放心了。”李杰告訴新金融記者。
他是一名來自電子書應用宜搜公司的程序員。在他拿到的用戶泄漏信息中,用用戶名對應密碼,嘗試了多個,均顯示登錄成功狀態。這也就意味著,其可以很簡單地在該12306用戶不知情的情況下,進行買、退票動作。
不過這畢竟是一件違背道德,并違背職業精神的事情。他沒有這么做,只是幫助周圍的朋友查詢他們的信息是否處于泄漏之列。
這就是從12月25日上午開始爆發的12306官網用戶信息泄露風波。當天第三方漏洞報告平臺烏云網發布檢測信息稱,大量12306用戶數據在互聯網傳播售賣,已知公開傳播的數據庫涉及用戶數超過13萬條,包括用戶賬號、明文密碼、身份證、郵箱、信用卡信息、購買記錄等。
報告稱,泄露途徑目前未知,無法確認是12306官方還是第三方搶票平臺泄露,漏洞已提交至國家互聯網應急中心處理。
新金融記者從相關網站了解到,泄露數據信息的文件標題為《12306郵箱-密碼-姓名-身份證-手機.txt》,共計131653條記錄,文件約14M,這便是李杰所獲得的泄漏信息文本。
發布12306官網用戶信息泄露信息的烏云網正是一家專注于互聯網安全漏洞報告的平臺。
其“白帽子”(正面黑客,識別計算機系統或網絡系統中的安全漏洞,但不會惡意去利用,而是公布其漏洞)成員之一王音此前曾告訴新金融記者,當用戶把安全性作為選擇企業產品的考量之一時,企業就會加大投入,開發人員就會有更多的資源和動力去處理安全問題,從而營造出越來越好的安全生態。促使這個生態形成,就是烏云白帽子團隊要做的事情。
據了解,在烏云網發布12306用戶信息泄漏之后不久,12306就知道了此消息,并與烏云網取得聯系,表示會認真調查此事,并在日后發布公告。
事實上,這并不是12306首次用戶數據泄漏。此前烏云網也曾發布過類似報告,但泄漏規模并沒有此次這么大。
多位受訪人士向新金融記者表示了擔心。由于購票行為與銀行卡支付緊密相連,很多用戶選擇了更改12306登錄密碼,以免遭受損失。
誰的責任
在泄漏事件發生一天后,即12月26日上午,12306宣布中國鐵路總公司官方微博“中國鐵路”公告,鐵路公安機關已經將中國鐵路客戶服務中心網站(即12306網站)信息泄漏嫌犯抓獲。
“中國鐵路”稱,2014年12月25日晚間鐵路公安將嫌疑人蔣某某、施某某成功抓獲,嫌疑人通過手機互聯網某游戲網站以及其他多個網站泄漏的用戶名加密碼信息,嘗試登錄其他網站進行“撞庫”,非法獲取用戶的信息,并謀取非法利益。同時,鐵路方面再次重申,旅客要通過12306官方網站購票,不要使用第三方搶票軟件或委托第三方網站購票,防止個人身份信息外泄。
據了解,所謂“撞庫”是指黑客通過收集網絡上已泄露的用戶名及密碼等信息,然后到多個網站嘗試批量登錄,得到一批可以登錄的用戶賬號及密碼。
“根據12306公告,很明顯將12306用戶信息數據為何發生泄漏推向了第三方搶票軟件。”一位從事網絡安全的互聯網人士告訴新金融記者,從12306官網在事件發生當時發布的聲明,再到現今的公告,均是如此表態。
但就鐵路方面的回應,第三方軟件廠商并不買賬。包括360、UC、獵豹等提供搶票功能的瀏覽器均對外否認此次用戶數據泄漏與自身有關。其中獵豹移動安全專家李鐵軍表示,獵豹搶票插件不保存用戶數據,因而不會造成用戶數據泄露的問題;同時獵豹也不提供離線搶票功能,因此不存在明文密碼泄露問題。
李杰對新金融記者表示,安全問題可以出現在任何地方,目前沒有測試很難明確責任。不過他認為,此次發生用戶泄漏事件,12306仍需繼續完善。
據了解,創宇安全研究團隊在事發后曾隨機聯系了該批數據中的多個用戶,均反饋說近期沒有使用過搶票軟件或沒有購票行為。在春運搶票正值白熱化階段,出現用戶數據泄漏事件,無疑讓互聯網安全再度成為人們關注的焦點。
近年來此類事件屢有發生。近有攜程用戶個人信息被泄露,遠有csdn用戶資料泄密。
“很多互聯網公司出現的安全漏洞,歸根到底是要質還是要量的問題。網站為了快速發展用戶,有時候可能在系統調試中出現不嚴謹的情況,大部分被黑客攻擊,都是因為網站調試或者更新時出現后門。”上述從事網絡安全的互聯網人士告訴新金融記者,不出問題就永遠沒有問題,大多數公司都是這么想的。
他認為,國內對信息安全的重視程度一直不高,都是等出事了才重視一次。幾乎沒有幾個公司有專門的安全預防控制部門,其實這是很有必要的。