最近幾天,12306網站用戶數據泄露成為大眾關注焦點,鐵路警方迅速抓獲了泄密嫌疑人。網站主管方中國鐵道科學研究院最高懸賞2000元,號召網友查找漏洞。此前,有媒體報道稱,大量12306網站用戶信息遭泄露,已知公開傳播的數據庫涉及的用戶數據超過13萬條。
一位網站安全專家曾說過,“網站的安全是不可信任的,無論是國內的還是國外的,你只能盡量控制信息的源頭,一旦流出去了就基本脫離了你的控制。”外行看熱鬧,很難對此作專業評價。近年來,互聯網用戶數據庫泄露事件是越來越頻密、越來越嚴重倒是不假。2011年,CSDN等十余網站用戶信息數據庫被泄露;2014年5月,“小米”用戶數據庫泄漏,約800萬個涵蓋用戶名、密碼、短信、通訊錄等私密內容“裸奔”;今次,12306網站中招,許多旅客“躺著中槍”。
網站不可能不受黑客攻擊,尤其是一些擁有大量公民個人信息的大型網站,因此網站賬號安全顯得尤為重要。如果賬號安全體系做得足夠好,黑客在攻擊網站時,網站就能及時發現并阻斷,不讓黑客得逞,泄露則說明網站存在一定的漏洞。12306提醒旅客,為保障信息安全,不要使用第三方搶票軟件購票或委托第三方網站購票。這種提醒,聊勝于無。一些旅客為什么使用第三方搶票軟件,還不是因為在正規網站搶不到票嗎?而對許多只能依賴代售點購票的農民工來說,誰知對方使用的是什么搶票軟件?
通過“懸賞令”,請安全專家和黑客技術高手出馬,尋找網站存在的安全漏洞,旨在幫助企業發現并修復漏洞,在一定程度上助益于網站提升安全防護水平。問題是,安全專業和民間高人能否跑得過那些專門竊取數據的“非法入侵者”?互聯網走到了今天,在用戶數據利用上,業已形成一條規模巨大的地下黑色產業鏈——有人粗略估計規模在百億元左右,且環環相扣,有人負責偷取,有人販賣倒賣,有人利用數據推銷詐騙,甚至直接在網上盜取他人錢財,可謂步步驚心。
在與竊取用戶信息、盜竊網銀、轉移虛擬財產的犯罪分子斗智斗勇的路上,直接為網民提供服務的網站無疑是網絡安全的“第一責任人”,有責任進行有效的內部治理,提高安全意識、增大安全投入、改進技術手段,堵住可能泄露的漏洞,而這些幾乎是國內網站的軟肋。
僅靠內部治理仍不足撐起整座網絡安全大廈,外部治理必須抬高違法成本,對相關犯罪行為形成實時的、常態的、有效的打擊。在法律實踐上,也存在一些明顯的漏洞,需要打“法律補丁”。譬如規定模糊,2009年的《刑法修正案(七)》雖設相關罪名,但在公民個人信息范圍多大、何謂“情節嚴重”等關鍵問題上的規定相當粗略。此外,“情節嚴重的,處三年以下有期徒刑或者拘役”的規定,亦有偏輕之嫌,難以形成剛性約束力。
總而言之,在網絡信息安全問題上,用戶、網站、社會要形成合力。