此贴一出,举国哗然,网友纷纷为自己的隐私泄露和自身安全深感担忧,黑客如何获取12306的用户信息在黑客群体中进行非法买卖,将用户的隐私作为牟取利润的商品,买到用户的...
媒体报道,25日有网友在漏洞平台乌云发表一篇题为《大量12306用户数据在互联网疯传包括用户账号、明文密码、身份证邮箱等(泄漏途径目前未知)》的帖子,称当前有黑客获取了12306的所有用户信息并在一些黑客群体中进行流传、买卖。据悉,该样本数据的文件标题为《12306邮箱-密码-身份证-手机(售后群:31109xxxx).txt》,共计13万余条记录、文件大小14M。
此贴一出,举国哗然,网友纷纷为自己的隐私泄露和自身安全深感担忧,黑客如何获取12306的用户信息在黑客群体中进行非法买卖,将用户的隐私作为牟取利润的商品,买到用户的隐私,黑客群体必将利用用户的个人隐私进行进一步的牟利或是诈骗,对用户的人身和财产安全必将造成不可估计的损失。用户又如何能安枕而卧?
对此,12306回应称,次泄露信息全部含有用户的明文密码,系经其他网站或渠道流出。12306还强调,公安机关已经介入调查此事。
以下为12306声明全文:
针对互联网上出现 12306网站用户信息在互联网上疯传 的报道,经我网站认真核查,此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。
我网站郑重提醒广大旅客,为保障广大用户的信息安全,请您通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止您的个人身份信息外泄。
同时,我网站提醒广大旅客,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请广大旅客注意。
中国铁路客户服务中心
2014年12月25日
按照12306的声明,此次13万余用户信息的泄密与自身并没有关系,并且要求用户仅通过12306购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防用户个人信息外泄,并警告用户,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,剑指360、猎豹等第三方抢票软件.
在笔者看来,此次13万余条用户信息的泄密,12306本身就有着不可推卸的责任。
第一、作为中国铁路客户服务中心唯一官方指定购票入口,12306代表中国铁道部政府的态度,寄托着旅客回家的期待和希望,理应将用户信息安全放在第一位,站在政府的角度,12306自当担负起这个本应该属于自己的责任。并不是单方的要求用户仅用12306购票,排挤第三方,更不要将责任推给第三方网站和软件,想瞒天过海却反而会欲盖弥彰。有专业人士称12306泄密漏洞早已被发现却一直未解决,足以说明12306的瞒天过海之嫌早已有之。
第二、第三方抢票软件之所以兴起乃至风靡,成为用户津津乐道的抢票神器,足见12306的缺口之大,如果12306完全满足了旅客的抢票需求,取得了良好的客户体验。第三方软件自然不会如此受宠,到是恰恰反过来弥补了12306的短板,相得益彰。不排除从第三方软件泄漏数据的可能性,因为第三方软件也仅仅铺设了抢票的一个通道,进一步说恰是12306的缺陷让第三方抢票软件有机可乘,而此其中的安全性可想而知。根据互联网安全公司的普遍分析,这次13万余用户信息的泄露是由于 撞库 所致。那么也是12306本身在互联网安全方面的粗心大意,要知道这一粗心大意带给用户的将是无可估量的损失,互联网安全专家李铁军的见解,成熟的网站都会在登陆服务器时设置二次验证程序,国内很多网站为了节省成本,并没有设置这一道程序,12306即是其中之一,作为全国铁路客户服务中心官方网站本职不但是帮助用户买票,而且更重要的是在保护用户的个人信息不被泄露的情况下帮助用户买到火车票。
第三、即使互联网疯传的13万余用户数据为黑客通过其他数据库 撞库 整理而来,那么12306在确保用户顺利购票之余都应该把保护用户的个人信息作为首要工作。据铁科院电子计算技术研究所副所长朱建生介绍,12月7日春运火车票开始发售至21日零点,全国铁路已售票逾1.15亿张。19日12306网站访问量达297亿次,相当于全国每人点击了12306网站21次,达到前所未有的峰值。12306网站俨然成为中国用户高度聚焦的网站之一。而购买火车票均是保留用户的姓名、身份证、乃至银行卡等直接关呼生命财产的隐私信息, 12306务必为用户做好此项保护工作。此次13万余用户信息在黑客群体疯传叫卖将给用户个人造成直接性的后果还一无所知,进一步讲,如果13万余信息成为黑客团伙的犯罪导火线,于12306、于用户都将是心头大患。
12306在此次用户信息泄密事件上,需要做好以下几点:
第一、承担起用户信息泄密这起事件的责任,勿把责任推给第三方抢票软件,第三方抢票软件在一定程度上弥补了12306的不足,得以帮助用户抢到车票。第三方捆绑式销售保险也在一定程度上为用户提供了人身安全保障,以减少因意外而造成的不必要损失。
第二、12306应加固自身安全体系建设,在登陆服务器时设置二次验证程序,加强对用户个人隐私信息的保障,互联网隐私保护至今是一个难题,但是用户的隐私绝对不可忽视。
第三、12306作为中国铁路客户服务中心唯一官方指定购票入口也未免太过垄断,或者说需要分权治之。为了保障用户的个人信息的安全性和保障整个购票系统所能承受的压力,12306是否应该考虑分流而治,敞开胸襟同第三方商讨合作事宜?
正视责任,加固程序,分流而治为12306的必由之路。