“12306用戶(hù)信息泄密”嫌疑人被抓,事件仍在發(fā)酵——網(wǎng)絡(luò)時(shí)代,信息安全如何保障
25日,12306網(wǎng)站13萬(wàn)條用戶(hù)個(gè)人信息被泄露,昨天事件仍在持續(xù)發(fā)酵。
網(wǎng)站用戶(hù)紛紛改密碼
“昨天,聽(tīng)說(shuō)12306網(wǎng)站用戶(hù)信息泄露,雖然這個(gè)賬號(hào)平時(shí)購(gòu)票很少,最近也沒(méi)有上網(wǎng)搶春節(jié)回家的票,但我還是第一時(shí)間修改賬號(hào)和密碼。”南京一家事業(yè)單位劉女士說(shuō),“畢竟銀行卡支付可能因此遇到麻煩,不怕一萬(wàn)只怕萬(wàn)一嘛。”像她這樣的用戶(hù)不在少數(shù)。買(mǎi)到火車(chē)票的人,不少都選擇盡快取票,以免賬戶(hù)被惡意退票。與此同時(shí),網(wǎng)上出現(xiàn)木馬偽裝12306數(shù)據(jù)包,在網(wǎng)盤(pán)、聊天群共享中瘋傳。
事件在網(wǎng)絡(luò)上引起熱議。網(wǎng)友“李文雄-塵塵”說(shuō):“網(wǎng)站爛、用戶(hù)體驗(yàn)差也就算了,數(shù)據(jù)庫(kù)也這么不安全?這網(wǎng)站可是花了數(shù)億元建的。”網(wǎng)友“飛魚(yú)飛ing”說(shuō),“這事兒有什么好噴的?我覺(jué)得這次12306純粹是躺槍。利益和風(fēng)險(xiǎn)是并存的。買(mǎi)不到票就想‘作弊’用第三方插件搶票,那就得承擔(dān)個(gè)人信息泄露的風(fēng)險(xiǎn)。用第三方插件登陸,你賬號(hào)里存的購(gòu)票個(gè)人信息都會(huì)被插件讀取到。至于插件會(huì)不會(huì)記錄這些信息并做他用,就只能呵呵了。”
中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)信用評(píng)價(jià)中心法律顧問(wèn)趙占領(lǐng)提醒,我國(guó)對(duì)個(gè)人信息保護(hù)的立法剛起步。根據(jù)目前法律法規(guī),對(duì)由于技術(shù)漏洞造成的個(gè)人用戶(hù)信息泄露,既無(wú)處罰機(jī)制,也無(wú)補(bǔ)償措施。即便個(gè)人權(quán)益真的遭到侵害,也會(huì)陷入舉證難、維權(quán)難的窘境。“目前,更改密碼是最重要的。”
黑客得手暴露12306漏洞
好在25日當(dāng)晚,兩名犯罪嫌疑人便被抓獲。中國(guó)鐵路官方發(fā)布消息稱(chēng),警方已將涉嫌竊取并泄露他人電子信息的犯罪嫌疑人蔣某某、施某某抓獲,正是他們,“通過(guò)收集互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個(gè)網(wǎng)站泄露的用戶(hù)名加密碼信息,嘗試登陸其他網(wǎng)站進(jìn)行‘撞庫(kù)’,非法獲取用戶(hù)其他信息”,才導(dǎo)致此次事件發(fā)生。
如此解釋?zhuān)⑽创蛳藗冃闹幸蓡?wèn):即便如12306所說(shuō),用戶(hù)個(gè)人信息系經(jīng)其他網(wǎng)站或渠道流出,但“撞庫(kù)”之所以能成功,被“撞”一方至少在安全防范上存在責(zé)任,12306為何對(duì)此疏于防范?從2012年起,該網(wǎng)站被披露的漏洞就有四五十個(gè),且不少漏洞之后都持續(xù)很久。多達(dá)13萬(wàn)條的巨大登陸請(qǐng)求數(shù)量,12306為何沒(méi)有及時(shí)發(fā)現(xiàn)并進(jìn)行屏蔽?一般來(lái)說(shuō),絕大多數(shù)漏洞,對(duì)重視安全、響應(yīng)速度快的網(wǎng)站來(lái)說(shuō),數(shù)小時(shí)即可快速修復(fù),耗費(fèi)巨資、關(guān)乎億萬(wàn)人出行的“火車(chē)票第一網(wǎng)”為何屢屢反應(yīng)遲鈍?
據(jù)知名互聯(lián)網(wǎng)安全公司360披露,12306之所以被“撞庫(kù)”,很可能是其手機(jī)APP漏洞導(dǎo)致。補(bǔ)天漏洞平臺(tái)白帽子發(fā)現(xiàn),12306手機(jī)APP登陸接口存在漏洞,黑客可輕易繞過(guò)其賬號(hào)安全防護(hù)措施,無(wú)限次嘗試自動(dòng)登陸。360網(wǎng)站安全總監(jiān)趙武認(rèn)為,被黑客“撞庫(kù)”得手,根本原因是其賬號(hào)安全體系有缺陷。
前天下午,針對(duì)網(wǎng)上流傳的13萬(wàn)條用戶(hù)數(shù)據(jù)泄露一事,12306網(wǎng)站發(fā)布公告證實(shí)此事,建議旅客購(gòu)票要通過(guò)12306官方網(wǎng)站,不要使用第三方搶票軟件或委托第三方網(wǎng)站購(gòu)票,防止個(gè)人身份信息外泄。不過(guò),隨即遭到360、百度、攜程等第三方軟件提供商的否認(rèn)。
單獨(dú)設(shè)置重要密碼防“撞庫(kù)”
對(duì)于此次事件為何12306方面反應(yīng)如此遲鈍,業(yè)內(nèi)人士分析,由于國(guó)內(nèi)的一些大型系統(tǒng)有可能是采用項(xiàng)目外包的形式,在漏洞修復(fù)過(guò)程中存在溝通時(shí)間較長(zhǎng)的情況,或者對(duì)漏洞理解不到位的情況,所以時(shí)間可能稍微長(zhǎng)一點(diǎn),一般2周之內(nèi)能夠修復(fù)。
在12306網(wǎng)站上購(gòu)過(guò)票的人都不難發(fā)現(xiàn),登陸、購(gòu)票、支付等,并不需要驗(yàn)證,感覺(jué)安全級(jí)別很低。“但從業(yè)務(wù)安全角度考慮,用戶(hù)異地IP登陸等風(fēng)險(xiǎn)情況應(yīng)加入驗(yàn)證碼等安全機(jī)制,防止黑客使用自動(dòng)化工具破解密碼。此外,對(duì)連續(xù)試錯(cuò)密碼、大規(guī)模登陸請(qǐng)求等異常情況,應(yīng)對(duì)訪問(wèn)IP進(jìn)行一定時(shí)間的屏蔽封鎖。”趙武表示。
實(shí)際上,對(duì)于網(wǎng)站方,采用多重保護(hù)措施,減少用戶(hù)密碼泄露,并不難,比如使用雙因素驗(yàn)證如引入短信驗(yàn)證碼等機(jī)制,避免以密碼作為單一的驗(yàn)證憑據(jù),就是一種很好的辦法,即使用戶(hù)信息外泄也可以盡可能降低損失。
對(duì)網(wǎng)民來(lái)說(shuō),防范“撞庫(kù)”的方法是密碼一定要分級(jí)管理,重要賬號(hào)單獨(dú)設(shè)置密碼,并定期修改密碼;對(duì)網(wǎng)站來(lái)說(shuō),對(duì)待漏洞不可諱疾忌醫(yī),正確的做法是與安全社區(qū)合作主動(dòng)發(fā)現(xiàn)、修復(fù)漏洞,這樣才能避免不必要的損失。其實(shí),從安全角度來(lái)說(shuō),無(wú)論是商業(yè)網(wǎng)站還是其他網(wǎng)站,都會(huì)面臨層出不窮的安全威脅,包括Google、蘋(píng)果也都無(wú)法保證100%安全。“重要的是提升安全意識(shí)和加大安全投入,建立完善的風(fēng)控措施把用戶(hù)的風(fēng)險(xiǎn)降到最低。”專(zhuān)家建議。