2014-12-27 10:05:01|來源:新華報業網|字號:
25日,12306網站13萬條用戶個人信息被泄露,昨天事件仍在持續發酵。
網站用戶紛紛改密碼
“昨天,聽說12306網站用戶信息泄露,雖然這個賬號平時購票很少,最近也沒有上網搶春節回家的票,但我還是第一時間修改賬號和密碼。”南京一家事業單位劉女士說,“畢竟銀行卡支付可能因此遇到麻煩,不怕一萬隻怕萬一嘛。”像她這樣的用戶不在少數。買到火車票的人,不少都選擇盡快取票,以免賬戶被惡意退票。與此同時,網上出現木馬偽裝12306數據包,在網盤、聊天群共享中瘋傳。
事件在網絡上引起熱議。網友“李文雄-塵塵”說:“網站爛、用戶體驗差也就算了,數據庫也這麼不安全?這網站可是花了數億元建的。”網友“飛魚飛ing”說,“這事兒有什麼好噴的?我覺得這次12306純粹是躺槍。利益和風險是並存的。買不到票就想‘作弊’用第三方插件搶票,那就得承擔個人信息泄露的風險。用第三方插件登陸,你賬號裡存的購票個人信息都會被插件讀取到。至於插件會不會記錄這些信息並做他用,就隻能呵呵了。”
中國互聯網協會信用評價中心法律顧問趙佔領提醒,我國對個人信息保護的立法剛起步。根據目前法律法規,對由於技術漏洞造成的個人用戶信息泄露,既無處罰機制,也無補償措施。即便個人權益真的遭到侵害,也會陷入舉証難、維權難的窘境。“目前,更改密碼是最重要的。”
黑客得手暴露12306漏洞
好在25日當晚,兩名犯罪嫌疑人便被抓獲。中國鐵路官方發布消息稱,警方已將涉嫌竊取並泄露他人電子信息的犯罪嫌疑人蔣某某、施某某抓獲,正是他們,“通過收集互聯網某游戲網站以及其他多個網站泄露的用戶名加密碼信息,嘗試登陸其他網站進行‘撞庫’,非法獲取用戶其他信息”,才導致此次事件發生。
如此解釋,並未打消人們心中疑問:即便如12306所說,用戶個人信息系經其他網站或渠道流出,但“撞庫”之所以能成功,被“撞”一方至少在安全防范上存在責任,12306為何對此疏於防范?從2012年起,該網站被披露的漏洞就有四五十個,且不少漏洞之后都持續很久。多達13萬條的巨大登陸請求數量,12306為何沒有及時發現並進行屏蔽?一般來說,絕大多數漏洞,對重視安全、響應速度快的網站來說,數小時即可快速修復,耗費巨資、關乎億萬人出行的“火車票第一網”為何屢屢反應遲鈍?
據知名互聯網安全公司360披露,12306之所以被“撞庫”,很可能是其手機APP漏洞導致。補天漏洞平台白帽子發現,12306手機APP登陸接口存在漏洞,黑客可輕易繞過其賬號安全防護措施,無限次嘗試自動登陸。360網站安全總監趙武認為,被黑客“撞庫”得手,根本原因是其賬號安全體系有缺陷。
前天下午,針對網上流傳的13萬條用戶數據泄露一事,12306網站發布公告証實此事,建議旅客購票要通過12306官方網站,不要使用第三方搶票軟件或委托第三方網站購票,防止個人身份信息外泄。不過,隨即遭到360、百度、攜程等第三方軟件提供商的否認。
單獨設置重要密碼防“撞庫”
對於此次事件為何12306方面反應如此遲鈍,業內人士分析,由於國內的一些大型系統有可能是採用項目外包的形式,在漏洞修復過程中存在溝通時間較長的情況,或者對漏洞理解不到位的情況,所以時間可能稍微長一點,一般2周之內能夠修復。
在12306網站上購過票的人都不難發現,登陸、購票、支付等,並不需要驗証,感覺安全級別很低。“但從業務安全角度考慮,用戶異地IP登陸等風險情況應加入驗証碼等安全機制,防止黑客使用自動化工具破解密碼。此外,對連續試錯密碼、大規模登陸請求等異常情況,應對訪問IP進行一定時間的屏蔽封鎖。”趙武表示。
實際上,對於網站方,採用多重保護措施,減少用戶密碼泄露,並不難,比如使用雙因素驗証如引入短信驗証碼等機制,避免以密碼作為單一的驗証憑據,就是一種很好的辦法,即使用戶信息外泄也可以盡可能降低損失。
對網民來說,防范“撞庫”的方法是密碼一定要分級管理,重要賬號單獨設置密碼,並定期修改密碼﹔對網站來說,對待漏洞不可諱疾忌醫,正確的做法是與安全社區合作主動發現、修復漏洞,這樣才能避免不必要的損失。其實,從安全角度,無論是商業網站還是其他網站,都會面臨層出不窮的安全威脅,包括Google、蘋果也都無法保証100%安全。“重要的是提升安全意識和加大安全投入,建立完善的風控措施把用戶的風險降到最低。”專家建議。
(來源:新華報業網)
安全投入,信息泄露,安全機制,安全社區,撞庫