精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

25日，12306網(wǎng)站13萬條用戶個人信息被泄露，昨天事件仍在持續(xù)發(fā)酵。

網(wǎng)站用戶紛紛改密碼

“昨天，聽說12306網(wǎng)站用戶信息泄露，雖然這個賬號平時購票很少，最近也沒有上網(wǎng)搶春節(jié)回家的票，但我還是第一時間修改賬號和密碼。”南京一家事業(yè)單位劉女士說，“畢竟銀行卡支付可能因此遇到麻煩，不怕一萬只怕萬一嘛。”像她這樣的用戶不在少數(shù)。買到火車票的人，不少都選擇盡快取票，以免賬戶被惡意退票。與此同時，網(wǎng)上出現(xiàn)木馬偽裝12306數(shù)據(jù)包，在網(wǎng)盤、聊天群共享中瘋傳。

事件在網(wǎng)絡上引起熱議。網(wǎng)友“李文雄-塵塵”說：“網(wǎng)站爛、用戶體驗差也就算了，數(shù)據(jù)庫也這么不安全？這網(wǎng)站可是花了數(shù)億元建的。”網(wǎng)友“飛魚飛ing”說，“這事兒有什么好噴的？我覺得這次12306純粹是躺槍。利益和風險是并存的。買不到票就想‘作弊’用第三方插件搶票，那就得承擔個人信息泄露的風險。用第三方插件登陸，你賬號里存的購票個人信息都會被插件讀取到。至于插件會不會記錄這些信息并做他用，就只能呵呵了。”

中國互聯(lián)網(wǎng)協(xié)會信用評價中心法律顧問趙占領提醒，我國對個人信息保護的立法剛起步。根據(jù)目前法律法規(guī)，對由于技術漏洞造成的個人用戶信息泄露，既無處罰機制，也無補償措施。即便個人權益真的遭到侵害，也會陷入舉證難、維權難的窘境。“目前，更改密碼是最重要的。”

黑客得手暴露12306漏洞

好在25日當晚，兩名犯罪嫌疑人便被抓獲。中國鐵路官方發(fā)布消息稱，警方已將涉嫌竊取并泄露他人電子信息的犯罪嫌疑人蔣某某、施某某抓獲，正是他們，“通過收集互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個網(wǎng)站泄露的用戶名加密碼信息，嘗試登陸其他網(wǎng)站進行‘撞庫’，非法獲取用戶其他信息”，才導致此次事件發(fā)生。

如此解釋，并未打消人們心中疑問：即便如12306所說，用戶個人信息系經(jīng)其他網(wǎng)站或渠道流出，但“撞庫”之所以能成功，被“撞”一方至少在安全防范上存在責任，12306為何對此疏于防范？從2012年起，該網(wǎng)站被披露的漏洞就有四五十個，且不少漏洞之后都持續(xù)很久。多達13萬條的巨大登陸請求數(shù)量，12306為何沒有及時發(fā)現(xiàn)并進行屏蔽？一般來說，絕大多數(shù)漏洞，對重視安全、響應速度快的網(wǎng)站來說，數(shù)小時即可快速修復，耗費巨資、關乎億萬人出行的“火車票第一網(wǎng)”為何屢屢反應遲鈍？

據(jù)知名互聯(lián)網(wǎng)安全公司360披露，12306之所以被“撞庫”，很可能是其手機APP漏洞導致。補天漏洞平臺白帽子發(fā)現(xiàn)，12306手機APP登陸接口存在漏洞，黑客可輕易繞過其賬號安全防護措施，無限次嘗試自動登陸。360網(wǎng)站安全總監(jiān)趙武認為，被黑客“撞庫”得手，根本原因是其賬號安全體系有缺陷。

前天下午，針對網(wǎng)上流傳的13萬條用戶數(shù)據(jù)泄露一事，12306網(wǎng)站發(fā)布公告證實此事，建議旅客購票要通過12306官方網(wǎng)站，不要使用第三方搶票軟件或委托第三方網(wǎng)站購票，防止個人身份信息外泄。不過，隨即遭到360、百度、攜程等第三方軟件提供商的否認。

單獨設置重要密碼防“撞庫”

對于此次事件為何12306方面反應如此遲鈍，業(yè)內(nèi)人士分析，由于國內(nèi)的一些大型系統(tǒng)有可能是采用項目外包的形式，在漏洞修復過程中存在溝通時間較長的情況，或者對漏洞理解不到位的情況，所以時間可能稍微長一點，一般2周之內(nèi)能夠修復。

在12306網(wǎng)站上購過票的人都不難發(fā)現(xiàn)，登陸、購票、支付等，并不需要驗證，感覺安全級別很低。“但從業(yè)務安全角度考慮，用戶異地IP登陸等風險情況應加入驗證碼等安全機制，防止黑客使用自動化工具破解密碼。此外，對連續(xù)試錯密碼、大規(guī)模登陸請求等異常情況，應對訪問IP進行一定時間的屏蔽封鎖。”趙武表示。

實際上，對于網(wǎng)站方，采用多重保護措施，減少用戶密碼泄露，并不難，比如使用雙因素驗證如引入短信驗證碼等機制，避免以密碼作為單一的驗證憑據(jù)，就是一種很好的辦法，即使用戶信息外泄也可以盡可能降低損失。

對網(wǎng)民來說，防范“撞庫”的方法是密碼一定要分級管理，重要賬號單獨設置密碼，并定期修改密碼；對網(wǎng)站來說，對待漏洞不可諱疾忌醫(yī)，正確的做法是與安全社區(qū)合作主動發(fā)現(xiàn)、修復漏洞，這樣才能避免不必要的損失。其實，從安全角度來說，無論是商業(yè)網(wǎng)站還是其他網(wǎng)站，都會面臨層出不窮的安全威脅，包括Google、蘋果也都無法保證100%安全。“重要的是提升安全意識和加大安全投入，建立完善的風控措施把用戶的風險降到最低。”專家建議。