正值春運搶票白熱化階段,12306網(wǎng)站用戶數(shù)據(jù)信息發(fā)生大規(guī)模泄漏。事發(fā)后,12306以及第三方搶票軟件雙方各執(zhí)一詞,均認為此次用戶信息被泄漏與己方無關(guān)。即便嫌犯迅速落網(wǎng),但互聯(lián)網(wǎng)信息安全再次敲響警鐘。
泄漏風(fēng)波
在從網(wǎng)上拿到12306網(wǎng)站泄漏的用戶信息之后,李杰第一時間便查詢了里面是否有他的注冊ID。
“我拿到的txt文本里,約有13萬用戶信息,查了一下,發(fā)現(xiàn)里面沒有我的,我也就放心了。”李杰告訴新金融記者。
他是一名來自電子書應(yīng)用宜搜公司的程序員。在他拿到的用戶泄漏信息中,用用戶名對應(yīng)密碼,嘗試了多個,均顯示登錄成功狀態(tài)。這也就意味著,其可以很簡單地在該12306用戶不知情的情況下,進行買、退票動作。
不過這畢竟是一件違背道德,并違背職業(yè)精神的事情。他沒有這么做,只是幫助周圍的朋友查詢他們的信息是否處于泄漏之列。
這就是從12月25日上午開始爆發(fā)的12306官網(wǎng)用戶信息泄露風(fēng)波。當天第三方漏洞報告平臺烏云網(wǎng)發(fā)布檢測信息稱,大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)傳播售賣,已知公開傳播的數(shù)據(jù)庫涉及用戶數(shù)超過13萬條,包括用戶賬號、明文密碼、身份證、郵箱、信用卡信息、購買記錄等。
報告稱,泄露途徑目前未知,無法確認是12306官方還是第三方搶票平臺泄露,漏洞已提交至國家互聯(lián)網(wǎng)應(yīng)急中心處理。
新金融記者從相關(guān)網(wǎng)站了解到,泄露數(shù)據(jù)信息的文件標題為《12306郵箱-密碼-姓名-身份證-手機.txt》,共計131653條記錄,文件約14M,這便是李杰所獲得的泄漏信息文本。
發(fā)布12306官網(wǎng)用戶信息泄露信息的烏云網(wǎng)正是一家專注于互聯(lián)網(wǎng)安全漏洞報告的平臺。
其“白帽子”(正面黑客,識別計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞,但不會惡意去利用,而是公布其漏洞)成員之一王音此前曾告訴新金融記者,當用戶把安全性作為選擇企業(yè)產(chǎn)品的考量之一時,企業(yè)就會加大投入,開發(fā)人員就會有更多的資源和動力去處理安全問題,從而營造出越來越好的安全生態(tài)。促使這個生態(tài)形成,就是烏云白帽子團隊要做的事情。
據(jù)了解,在烏云網(wǎng)發(fā)布12306用戶信息泄漏之后不久,12306就知道了此消息,并與烏云網(wǎng)取得聯(lián)系,表示會認真調(diào)查此事,并在日后發(fā)布公告。
事實上,這并不是12306首次用戶數(shù)據(jù)泄漏。此前烏云網(wǎng)也曾發(fā)布過類似報告,但泄漏規(guī)模并沒有此次這么大。
多位受訪人士向新金融記者表示了擔心。由于購票行為與銀行卡支付緊密相連,很多用戶選擇了更改12306登錄密碼,以免遭受損失。
誰的責任
在泄漏事件發(fā)生一天后,即12月26日上午,12306宣布中國鐵路總公司官方微博“中國鐵路”公告,鐵路公安機關(guān)已經(jīng)將中國鐵路客戶服務(wù)中心網(wǎng)站(即12306網(wǎng)站)信息泄漏嫌犯抓獲。
“中國鐵路”稱,2014年12月25日晚間鐵路公安將嫌疑人蔣某某、施某某成功抓獲,嫌疑人通過手機互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個網(wǎng)站泄漏的用戶名加密碼信息,嘗試登錄其他網(wǎng)站進行“撞庫”,非法獲取用戶的信息,并謀取非法利益。同時,鐵路方面再次重申,旅客要通過12306官方網(wǎng)站購票,不要使用第三方搶票軟件或委托第三方網(wǎng)站購票,防止個人身份信息外泄。
據(jù)了解,所謂“撞庫”是指黑客通過收集網(wǎng)絡(luò)上已泄露的用戶名及密碼等信息,然后到多個網(wǎng)站嘗試批量登錄,得到一批可以登錄的用戶賬號及密碼。
“根據(jù)12306公告,很明顯將12306用戶信息數(shù)據(jù)為何發(fā)生泄漏推向了第三方搶票軟件。”一位從事網(wǎng)絡(luò)安全的互聯(lián)網(wǎng)人士告訴新金融記者,從12306官網(wǎng)在事件發(fā)生當時發(fā)布的聲明,再到現(xiàn)今的公告,均是如此表態(tài)。
但就鐵路方面的回應(yīng),第三方軟件廠商并不買賬。包括360、UC、獵豹等提供搶票功能的瀏覽器均對外否認此次用戶數(shù)據(jù)泄漏與自身有關(guān)。其中獵豹移動安全專家李鐵軍表示,獵豹搶票插件不保存用戶數(shù)據(jù),因而不會造成用戶數(shù)據(jù)泄露的問題;同時獵豹也不提供離線搶票功能,因此不存在明文密碼泄露問題。
李杰對新金融記者表示,安全問題可以出現(xiàn)在任何地方,目前沒有測試很難明確責任。不過他認為,此次發(fā)生用戶泄漏事件,12306仍需繼續(xù)完善。
據(jù)了解,創(chuàng)宇安全研究團隊在事發(fā)后曾隨機聯(lián)系了該批數(shù)據(jù)中的多個用戶,均反饋說近期沒有使用過搶票軟件或沒有購票行為。在春運搶票正值白熱化階段,出現(xiàn)用戶數(shù)據(jù)泄漏事件,無疑讓互聯(lián)網(wǎng)安全再度成為人們關(guān)注的焦點。
近年來此類事件屢有發(fā)生。近有攜程用戶個人信息被泄露,遠有csdn用戶資料泄密。
“很多互聯(lián)網(wǎng)公司出現(xiàn)的安全漏洞,歸根到底是要質(zhì)還是要量的問題。網(wǎng)站為了快速發(fā)展用戶,有時候可能在系統(tǒng)調(diào)試中出現(xiàn)不嚴謹?shù)那闆r,大部分被黑客攻擊,都是因為網(wǎng)站調(diào)試或者更新時出現(xiàn)后門。”上述從事網(wǎng)絡(luò)安全的互聯(lián)網(wǎng)人士告訴新金融記者,不出問題就永遠沒有問題,大多數(shù)公司都是這么想的。
他認為,國內(nèi)對信息安全的重視程度一直不高,都是等出事了才重視一次。幾乎沒有幾個公司有專門的安全預(yù)防控制部門,其實這是很有必要的。
京公網(wǎng)安備 11010502049343號