? 這不是12306網(wǎng)站第一次發(fā)生用戶信息泄露事件了,但是最大的一次。
12306官方網(wǎng)站當(dāng)日公告稱,經(jīng)認(rèn)真核查,此泄露信息全部含有用戶的明文密碼。12306網(wǎng)站數(shù)據(jù)庫所有用戶密碼均為多次加密的非明文轉(zhuǎn)換碼,網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出。目前,公安機關(guān)已經(jīng)介入調(diào)查。
12月25日上午10:59,烏云網(wǎng)發(fā)布漏洞報告稱,大量12306用戶數(shù)據(jù)在網(wǎng)絡(luò)上瘋狂傳播。
而此時,正是春運購票的關(guān)鍵時刻,12306網(wǎng)站每天的訪問量都很驚人。
烏云網(wǎng)創(chuàng)始人鄔迪告訴21世紀(jì)經(jīng)濟報道記者,“這是烏云網(wǎng)歷史上,第一次如此大規(guī)模的鐵路用戶數(shù)據(jù)泄露。”
據(jù)了解,本次泄露事件被泄露的數(shù)據(jù)達131653 條,包括用戶賬號、明文密碼、身份證和郵箱等多種信息。
烏云網(wǎng)是一家專注于互聯(lián)網(wǎng)安全漏洞報告的平臺。鄔迪介紹稱,烏云網(wǎng)每天都會對各項數(shù)據(jù)進行監(jiān)測,12306事件只是今天的一項內(nèi)容。但此前,他們也曾報告過12306網(wǎng)站泄露用戶信息的情況。
對這次用戶信息泄露事件,網(wǎng)絡(luò)議論熱烈。有網(wǎng)友擔(dān)心,這些泄露的信息是否包含購票過程使用的銀行卡等信息等。專業(yè)人士建議,如果用戶在其他網(wǎng)站也使用了12306網(wǎng)站同樣的用戶名和密碼,應(yīng)當(dāng)修改密碼。
多位接受21世紀(jì)經(jīng)濟報道記者采訪的安全專家對此事件分析認(rèn)為,這次很可能是黑客“撞庫”行為造成的,而非12306網(wǎng)站直接泄露,但同樣說明12306網(wǎng)站仍存在安全漏洞。不過,也有一些專家認(rèn)為事件原因仍不明。
對于此事件的影響,中國政法大學(xué)傳播法研究中心研究員朱巍分析稱,如果12306是出于過失導(dǎo)致信息泄露,司法實踐中會采用過錯推定原則確定侵權(quán)責(zé)任,“即先推定12306存在過錯,然后由12306舉證,證明自己盡到了安保責(zé)任”,朱巍說。
泄露原因何在?
烏云網(wǎng)創(chuàng)始人鄔迪告訴21世紀(jì)經(jīng)濟報道記者,12月25日上午10:59,在事件發(fā)生后,烏云網(wǎng)立刻進行了核查,在確認(rèn)該消息的真實可靠性后對此事進行了發(fā)布。
不久后12306就在第一時間知道了此消息,并與烏云網(wǎng)取得聯(lián)系,表示會認(rèn)真調(diào)查此事,并在日后發(fā)布公告。
下午14:15,烏云網(wǎng)通過新浪微博發(fā)布了消息稱,數(shù)據(jù)疑似黑客撞庫后整理得到,而并非12306直接泄漏,請用戶及時修改密碼同時慎用搶票工具。
鄔迪也對21世紀(jì)經(jīng)濟報道記者稱,所謂“撞庫”就是黑客通過收集網(wǎng)絡(luò)上已泄露的用戶名及密碼信息,生成對應(yīng)的“字典表”,到其他網(wǎng)站嘗試批量登錄,得到一批可以登錄的用戶賬號及密碼。
登錄用戶的后臺后,可能存在郵箱、手機號碼、身份證號碼被泄露、賬務(wù)積分和賬戶余額流失等多種風(fēng)險。
“如果用戶及時修改原始密碼就可以規(guī)避撞庫風(fēng)險。”鄔迪說,“但這并不等于自己的信息就完全安全了。”
鄔迪告訴記者,除了撞庫,還有另一種方式叫做拖庫。黑客通過技術(shù)直接下載某平臺的全部數(shù)據(jù)庫。“但本次12306泄露可以排除拖庫的可能性。”
在業(yè)內(nèi)人士看來,“拖庫”是指入侵有價值的網(wǎng)絡(luò)站點,把數(shù)據(jù)庫全部盜走的行為。盜取數(shù)據(jù)后,黑客會通過一系列的技術(shù)手段清洗數(shù)據(jù),并在黑市上將有價值的用戶數(shù)據(jù)變現(xiàn)交易,此為“洗庫”。最后黑客將得到的數(shù)據(jù)在其它網(wǎng)站上進行嘗試登陸,叫做“撞庫”。
浪潮電子信息安全事業(yè)部副總經(jīng)理蔡一兵對21世紀(jì)經(jīng)濟報道記者稱,“在互聯(lián)網(wǎng)的黑市里有一個非常成熟的產(chǎn)業(yè)鏈,有一個非常成熟的形成利益過程:拖庫、洗庫和撞庫。”
針對此次泄露事件的原因,360互聯(lián)網(wǎng)安全中心的安全研究人員非常肯定地以書面方式回答21世紀(jì)經(jīng)濟報道經(jīng)濟的采訪函時表示,“此次12306網(wǎng)站信息泄露是被黑客撞庫造成的。”
其理由是,經(jīng)過他們安全研究人員的調(diào)查發(fā)現(xiàn),第一、幾乎所有13萬條12306賬號密碼,都可以在此前多家游戲網(wǎng)站泄露的密碼庫中匹配到相應(yīng)的記錄。說明黑客用多家游戲網(wǎng)站的密碼庫對12306發(fā)動“撞庫”攻擊,篩選出13萬余條使用相同賬號密碼的用戶數(shù)據(jù)。第二,通過對12306泄露數(shù)據(jù)中的相關(guān)用戶進行抽樣調(diào)查,超過半數(shù)沒有使用任何搶票軟件,其余則是使用不同的搶票軟件。
在今天的泄露事件發(fā)生后,網(wǎng)上曾流傳稱,有18G的完整12306數(shù)據(jù)庫被泄露,但是目前并沒有人在網(wǎng)上找到過這個數(shù)據(jù)庫。
泄露事件發(fā)生后,12306發(fā)布公告稱網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出,原因是12306網(wǎng)站使用的是多次加密的密碼,而泄露的是明文密碼。分析人士稱,這也從另一個側(cè)面說明,這些密碼可能不是從12306網(wǎng)站泄露出去的。
據(jù)烏云官網(wǎng)發(fā)布的消息稱,漏洞已交由第三方廠商國家互聯(lián)網(wǎng)應(yīng)急中心處理。12月25日,國家互聯(lián)網(wǎng)應(yīng)急中心人士對21世紀(jì)經(jīng)濟報道記者表示:“事件正在調(diào)查當(dāng)中,結(jié)果以官網(wǎng)發(fā)布為準(zhǔn)。”
一位網(wǎng)絡(luò)安全研究人員對21世紀(jì)經(jīng)濟報道記者稱,12306網(wǎng)站第一時間知道這個事情的,并發(fā)布了公告,但是幾個小時過去了,那些用戶名和密碼還可以登錄,并可能被用于更改他人密碼、找到他人的電話號碼,甚至幫人家退票,“他們?yōu)槭裁床痪o急通過技術(shù)手段,短信通知用戶,將泄露的用戶密碼強制更改或提醒客戶更改?”
為什么會有這么大的漏洞?
不過,鄔迪稱,“此事目前還無法下定論。”
在12306網(wǎng)站在發(fā)布上述提示公告時,還特別提醒旅客不要使用第三方搶票軟件購票。這使得外界懷疑,此次泄露事件由第三方搶票軟件而起。
一位長期研究刷票軟件的人員告訴21世紀(jì)經(jīng)濟報道,目前搶票軟件發(fā)展速度極快,但并不存在十分清晰的盈利模式,因此從第三方軟件中泄露數(shù)據(jù)的可能性也依然存在。
一位從事軟件程序開發(fā)的技術(shù)人員告訴21世紀(jì)經(jīng)濟報道記者,這類搶票軟件的技術(shù)要求一般不高,如果第三方?jīng)]有嚴(yán)格的保護措施,用戶信息就存在不安全的隱患。
對于此,360公司相關(guān)人員書面回應(yīng)稱,360搶票王基于360安全瀏覽器,360安全瀏覽器的上網(wǎng)安全技術(shù)和措施都可以保障搶票王的安全。他們認(rèn)為,此次12306數(shù)據(jù)泄露事件與搶票軟件無關(guān)。
互聯(lián)網(wǎng)安全專家更關(guān)心的是,如果真是撞庫造成的泄露,12306網(wǎng)站為什么會留下這么大的漏洞?
“如果這次撞庫發(fā)生在Google、微軟身上,不可能成功。因為成熟的網(wǎng)站都會在登陸服務(wù)器時設(shè)置二次驗證程序。國內(nèi)很多網(wǎng)站為了節(jié)省成本,并沒有設(shè)置這一道程序。” 獵豹移動安全專家李鐵軍對21世紀(jì)經(jīng)濟報道說。但是,目前并不清楚,此次漏洞是否與驗證程序設(shè)置有關(guān)。
據(jù)一位對烏云網(wǎng)比較了解的專業(yè)人士稱,12306網(wǎng)站從2012年2月開始,在烏云網(wǎng)上被披露的漏洞接近50個,其中涉及用戶資料泄漏和敏感信息泄露的漏洞占7%,而還有44%的漏洞可間接導(dǎo)致信息泄漏,例如命令執(zhí)行漏洞和SQL注射漏洞。
而這些被監(jiān)測到的漏洞都持續(xù)了很長時間。這位專業(yè)人士稱,他們也不明白為什么這些漏洞一直沒有被補救。
360安全專家安揚也認(rèn)為,12306網(wǎng)站被撞庫,說明12306賬號安全體系仍需要進一步完善,盡可能及時發(fā)現(xiàn)并阻斷黑客撞庫攻擊。
據(jù)21世紀(jì)經(jīng)濟報道此前的報道, 12306網(wǎng)站由鐵科院開發(fā),鐵科院是原鐵道部下屬的單位。
一位從事高鐵安全行業(yè)的人士對21世紀(jì)經(jīng)濟報道記者稱,其實早在之前,鐵科院內(nèi)部已經(jīng)發(fā)現(xiàn)這一問題,但至今尚未完全解決,直到如今東窗事發(fā)。
黑色產(chǎn)業(yè)鏈
安揚對21世紀(jì)經(jīng)濟報道記者介紹,目前在互聯(lián)網(wǎng)上公開流傳的用戶數(shù)據(jù)很多,僅2012年CSDN、天涯的泄露數(shù)據(jù)就超過2億條,今年還出現(xiàn)了攜程、如家、當(dāng)當(dāng)?shù)男孤妒录?/div>
另據(jù)知道創(chuàng)宇旗下的網(wǎng)絡(luò)空間搜索引擎ZoomEye統(tǒng)計,中國目前至少有13000臺服務(wù)器存在破殼漏洞,全球大概有140000臺主機存在風(fēng)險。
知道創(chuàng)宇技術(shù)副總裁鐘晨鳴稱,最近三四年,國內(nèi)持續(xù)泄露的互聯(lián)網(wǎng)數(shù)據(jù),國內(nèi)總量級達到50億條用戶賬戶信息。 知道創(chuàng)宇是全球知名的互聯(lián)網(wǎng)安全公司,其創(chuàng)始團隊在互聯(lián)網(wǎng)安全領(lǐng)域服務(wù)了十多年,不久前還承擔(dān)了APEC期間新聞平臺網(wǎng)絡(luò)安全工作。
此外,騰訊手機管家安全專家陸兆華對21世紀(jì)經(jīng)濟報道記者表示,在互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈內(nèi)部,成員還存在數(shù)據(jù)庫共享的機制,非常容易就獲取到不同平臺被成功拖庫的信息,而用戶的敏感信息比如身份證信息、電話號碼、常用密碼都是相對不變的,一旦泄漏就會給用戶造成持續(xù)的影響。
在此事件的發(fā)生上一周,由國家信息安全漏洞共享平臺發(fā)布的信息安全漏洞周報顯示,2014 年 12 月 15 日至2014 年 12 月 21 日,國家信息安全漏洞共享平臺(以下簡稱 CNVD)本周共收集、整理信息安全漏洞 144 個。上述漏洞中,可利用來實施遠程攻擊的漏洞有 128 個。截至報告發(fā)布時間,已有 119 個漏洞由廠商提供了修補方案。
獵豹移動安全專家李鐵軍指出,中國的互聯(lián)網(wǎng)化進程非常快,很多傳統(tǒng)行業(yè),比如政府、醫(yī)療、航空、保險等等,都采用信息化開發(fā)業(yè)務(wù)。但是,這些企業(yè)的安全意識轉(zhuǎn)變并沒有跟上,企業(yè)的安全管理、安全人才儲備不足,很容易被攻擊,造成信息泄露。“所以,有的客戶剛剛訂了機票,就收到機票相關(guān)的詐騙電話、短信。”
北京銀庫副總裁杜占源對21世紀(jì)經(jīng)濟報道記者表示,對于絕大多數(shù)的數(shù)據(jù)泄露來講是因為網(wǎng)站自身存在安全漏洞引起的。目前很多非金融類的網(wǎng)站也進行實名制,但這些網(wǎng)站未必采取了很好的安全措施,一旦這類網(wǎng)站存在漏洞,用戶身份證的關(guān)鍵信息必然泄露。
據(jù)央行制定的《銀行卡收單業(yè)務(wù)管理辦法》規(guī)定,“收單單位不得以任何形式儲存銀行卡的敏感信息”,但一些網(wǎng)站往往突破此規(guī)定。在攜程網(wǎng)“漏洞門”事件中,攜程網(wǎng)堅持沒有過度搜集用戶信息,其理由是:“未扣款成功的CVV碼信息會被暫存7天,目的是協(xié)助用戶便捷支付。”
12306泄露事件發(fā)生至今,尚未暴出泄露的個人信息中包括用戶購票的銀行卡信息。
泄露事件同樣引起了對網(wǎng)絡(luò)實名制的討論。“韓國網(wǎng)絡(luò)實名制半途而廢的原因,就是無法解決大規(guī)模個人信息泄露問題”,中國政法大學(xué)傳播法研究中心研究員朱巍說。他建議,我國網(wǎng)絡(luò)實名制實行過程中,可以考慮規(guī)定商業(yè)網(wǎng)站無權(quán)保管個人核心信息,轉(zhuǎn)由安保等級更高的公安部平臺管理。
侵權(quán)責(zé)任如何劃分?
2012年12月28日,全國人大常委會通過《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》后,網(wǎng)絡(luò)個人信息保護有了法律依據(jù)。今年3月15日施行的新《消費者權(quán)益保護法》也增加了保護消費者個人信息的規(guī)定。
最新的司法依據(jù)是10月9日,最高法院公布的《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》,其中首次列舉了個人隱私的范圍。
“泄露個人信息者一定要承擔(dān)相應(yīng)的侵權(quán)責(zé)任,問題是誰來承擔(dān)”,朱巍告訴記者。
“如果是12306泄露,要區(qū)分為故意泄露還是過失泄露,故意泄露毫無疑問要承擔(dān)侵權(quán)責(zé)任”,朱巍說,“在國外,故意泄露還可以區(qū)分為出于商業(yè)目的還是非商業(yè)目的,如果是商業(yè)目的要加大處分力度,但國內(nèi)司法沒有這樣的區(qū)分”。
如果12306是出于過失導(dǎo)致信息泄露,司法實踐中會采用過錯推定原則確定侵權(quán)責(zé)任,“即先推定12306存在過錯,然后由12306舉證,證明自己盡到了安保責(zé)任”,朱巍說。
朱巍認(rèn)為,如果存在12306作為開放平臺,通過開放端口與第三方平臺進行授權(quán)合作的情況,即使信息是經(jīng)第三方泄露,12306也應(yīng)承擔(dān)連帶責(zé)任。
“這幾乎是整個互聯(lián)網(wǎng)產(chǎn)業(yè)的‘通病’,比如用戶注冊了一家互聯(lián)網(wǎng)服務(wù),結(jié)果發(fā)現(xiàn)自己的信息被授權(quán)給了這家網(wǎng)站的合作方”,朱巍說。
他認(rèn)為,哪怕用戶在注冊互聯(lián)網(wǎng)服務(wù)時,對方已經(jīng)提醒其個人信息可以授權(quán)轉(zhuǎn)讓給合作方,這也不能成為用戶信息泄露時其免責(zé)的理由,“因為這是格式合同,用戶如果拒絕就不能完成注冊”,朱巍說。
只不過,承擔(dān)連帶責(zé)任的網(wǎng)站,可以按照和第三方網(wǎng)站的內(nèi)部責(zé)任劃分約定,向直接泄露信息的第三方追償。
“最后一種情況是12306根本不知情,信息泄露源于不可抗力,但12306也要證明自己盡到了安保義務(wù)”,朱巍說。
- 下一篇:在線教育的融資與死亡報告
- 上一篇:VAIO將推出中端智能手機:與索尼競爭
分享與收藏:
資訊搜索
告訴好友
關(guān)閉窗口
打印本文
本文關(guān)鍵字:
為您推薦更多相關(guān)文章
- 聯(lián)通版網(wǎng)易白金卡宣布停止辦理! 2018-01-16
- 浙江聯(lián)通166號段開啟預(yù)約服務(wù) 2017-12-18
- 用戶反應(yīng)Surface Book 2實機存在屏幕漏光問題 2017-12-14
- 12306恢復(fù)銷售元旦火車票,可以正常購買了 2017-12-11
- 阿里巴巴AI閱卷:一篇200字的作文中找出8處錯誤 2017-12-07
- 蘋果就macOS登錄漏洞問題向所有Mac用戶道歉 2017-11-30
- Concur聯(lián)手微信推出電子發(fā)票解決方案 2017-11-27
- 雙11期間近1000萬個快遞紙箱得到回收 2017-11-15
- 中國青年電子競技大賽京東杯8進2賽事在上海靜安 2017-11-10
- 蘋果提醒消費者:iPhone無線充電可能損壞信用卡 2017-11-07
