視頻加載中,請稍候...

自動播放 






play
12306回應信息泄露



向前
向後




12306用戶信息泄露調查:疑似撞庫,漏洞為什麼沒有及時被補救?
  本報記者 吳燕雨 陳寶亮 王峰 楊志錦 孫春芳 申劍麗 北京報道   
  這不是12306網站第一次發生用戶信息泄露事件了,但是最大的一次。
  12306官方網站當日公告稱,經認真核查,此泄露信息全部含有用戶的明文密碼。12306網站數據庫所有用戶密碼均為多次加密的非明文轉換碼,網上泄露的用戶信息系經其他網站或渠道流出。目前,公安機關已經介入調查。
  12月25日上午10:59,烏雲網發佈漏洞報告稱,大量12306用戶數據在網絡上瘋狂傳播。
  而此時,正是春運購票的關鍵時刻,12306網站每天的訪問量都很驚人。
  烏雲網創始人鄔迪告訴21世紀經濟報道記者,“這是烏雲網歷史上,第一次如此大規模的鐵路用戶數據泄露。”
  據瞭解,本次泄露事件被泄露的數據達131653 條,包括用戶賬號、明文密碼、身份證和郵箱等多種信息。
  烏雲網是一家專註於互聯網安全漏洞報告的平臺。鄔迪介紹稱,烏雲網每天都會對各項數據進行監測,12306事件只是今天的一項內容。但此前,他們也曾報告過12306網站泄露用戶信息的情況。
  對這次用戶信息泄露事件,網絡議論熱烈。有網友擔心,這些泄露的信息是否包含購票過程使用的銀行卡等信息等。專業人士建議,如果用戶在其他網站也使用了12306網站同樣的用戶名和密碼,應當修改密碼。
  多位接受21世紀經濟報道記者採訪的安全專家對此事件分析認為,這次很可能是黑客“撞庫”行為造成的,而非12306網站直接泄露,但同樣說明12306網站仍存在安全漏洞。不過,也有一些專家認為事件原因仍不明。
  對於此事件的影響,中國政法大學傳播法研究中心研究員朱巍分析稱,如果12306是出於過失導致信息泄露,司法實踐中會採用過錯推定原則確定侵權責任,“即先推定12306存在過錯,然後由12306舉證,證明自己盡到了安保責任”,朱巍說。
  泄露原因何在?
  烏雲網創始人鄔迪告訴21世紀經濟報道記者,12月25日上午10:59,在事件發生後,烏雲網立刻進行了核查,在確認該消息的真實可靠性後對此事進行了發佈。
  不久後12306就在第一時間知道了此消息,並與烏雲網取得聯繫,表示會認真調查此事,併在日後發佈公告。
  下午14:15,烏雲網通過新浪微博發佈了消息稱,數據疑似黑客撞庫後整理得到,而並非12306直接泄漏,請用戶及時修改密碼同時慎用搶票工具。
  鄔迪也對21世紀經濟報道記者稱,所謂“撞庫”就是黑客通過收集網絡上已泄露的用戶名及密碼信息,生成對應的“字典表”,到其他網站嘗試批量登錄,得到一批可以登錄的用戶賬號及密碼。
  登錄用戶的後臺後,可能存在郵箱、手機號碼、身份證號碼被泄露、賬務積分和賬戶餘額流失等多種風險。
  “如果用戶及時修改原始密碼就可以規避撞庫風險。”鄔迪說,“但這並不等於自己的信息就完全安全了。”
  鄔迪告訴記者,除了撞庫,還有另一種方式叫做拖庫。黑客通過技術直接下載某平臺的全部數據庫。“但本次12306泄露可以排除拖庫的可能性。”
  在業內人士看來,“拖庫”是指入侵有價值的網絡站點,把數據庫全部盜走的行為。盜取數據後,黑客會通過一系列的技術手段清洗數據,併在黑市上將有價值的用戶數據變現交易,此為“洗庫”。最後黑客將得到的數據在其它網站上進行嘗試登陸,叫做“撞庫”。
  浪潮電子信息安全事業部副總經理蔡一兵對21世紀經濟報道記者稱,“在互聯網的黑市裡有一個非常成熟的產業鏈,有一個非常成熟的形成利益過程:拖庫、洗庫和撞庫。”
  針對此次泄露事件的原因,360互聯網安全中心的安全研究人員非常肯定地以書面方式回答21世紀經濟報道經濟的採訪函時表示,“此次12306網站信息泄露是被黑客撞庫造成的。”
  其理由是,經過他們安全研究人員的調查發現,第一、幾乎所有13萬條12306賬號密碼,都可以在此前多家游戲網站泄露的密碼庫中匹配到相應的記錄。說明黑客用多家游戲網站的密碼庫對12306發動“撞庫”攻擊,篩選出13萬餘條使用相同賬號密碼的用戶數據。第二,通過對12306泄露數據中的相關用戶進行抽樣調查,超過半數沒有使用任何搶票軟件,其餘則是使用不同的搶票軟件。
  在今天的泄露事件發生後,網上曾流傳稱,有18G的完整12306數據庫被泄露,但是目前並沒有人在網上找到過這個數據庫。
  泄露事件發生後,12306發佈公告稱網上泄露的用戶信息系經其他網站或渠道流出,原因是12306網站使用的是多次加密的密碼,而泄露的是明文密碼。分析人士稱,這也從另一個側面說明,這些密碼可能不是從12306網站泄露出去的。
  據烏雲官網發佈的消息稱,漏洞已交由第三方廠商國家互聯網應急中心處理。12月25日,國家互聯網應急中心人士對21世紀經濟報道記者表示:“事件正在調查當中,結果以官網發佈為準。”
  一位網絡安全研究人員對21世紀經濟報道記者稱,12306網站第一時間知道這個事情的,併發布了公告,但是幾個小時過去了,那些用戶名和密碼還可以登錄,並可能被用於更改他人密碼、找到他人的電話號碼,甚至幫人家退票,“他們為什麼不緊急通過技術手段,短信通知用戶,將泄露的用戶密碼強制更改或提醒客戶更改?”
  為什麼會有這麼大的漏洞?
  不過,鄔迪稱,“此事目前還無法下定論。”
  在12306網站在發佈上述提示公告時,還特別提醒旅客不要使用第三方搶票軟件購票。這使得外界懷疑,此次泄露事件由第三方搶票軟件而起。
  一位長期研究刷票軟件的人員告訴21世紀經濟報道,目前搶票軟件發展速度極快,但並不存在十分清晰的盈利模式,因此從第三方軟件中泄露數據的可能性也依然存在。
  一位從事軟件程序開發的技術人員告訴21世紀經濟報道記者,這類搶票軟件的技術要求一般不高,如果第三方沒有嚴格的保護措施,用戶信息就存在不安全的隱患。
  對於此,360公司相關人員書面回應稱,360搶票王基於360安全瀏覽器,360安全瀏覽器的上網安全技術和措施都可以保障搶票王的安全。他們認為,此次12306數據泄露事件與搶票軟件無關。
  互聯網安全專家更關心的是,如果真是撞庫造成的泄露,12306網站為什麼會留下這麼大的漏洞?
  “如果這次撞庫發生在Google、微軟身上,不可能成功。因為成熟的網站都會在登陸服務器時設置二次驗證程序。國內很多網站為了節省成本,並沒有設置這一道程序。” 獵豹移動安全專家李鐵軍對21世紀經濟報道說。但是,目前並不清楚,此次漏洞是否與驗證程序設置有關。
  據一位對烏雲網比較瞭解的專業人士稱,12306網站從2012年2月開始,在烏雲網上被披露的漏洞接近50個,其中涉及用戶資料泄漏和敏感信息泄露的漏洞占7%,而還有44%的漏洞可間接導致信息泄漏,例如命令執行漏洞和SQL註射漏洞。
  而這些被監測到的漏洞都持續了很長時間。這位專業人士稱,他們也不明白為什麼這些漏洞一直沒有被補救。
  360安全專家安揚也認為,12306網站被撞庫,說明12306賬號安全體系仍需要進一步完善,盡可能及時發現並阻斷黑客撞庫攻擊。
  據21世紀經濟報道此前的報道, 12306網站由鐵科院開發,鐵科院是原鐵道部下屬的單位。
  一位從事高鐵安全行業的人士對21世紀經濟報道記者稱,其實早在之前,鐵科院內部已經發現這一問題,但至今尚未完全解決,直到如今東窗事發。
  黑色產業鏈
  安揚對21世紀經濟報道記者介紹,目前在互聯網上公開流傳的用戶數據很多,僅2012年CSDN、天涯的泄露數據就超過2億條,今年還出現了攜程、如家、噹噹的泄露事件。
  另據知道創宇旗下的網絡空間搜索引擎ZoomEye統計,中國目前至少有13000台服務器存在破殼漏洞,全球大概有140000台主機存在風險。
  知道創宇技術副總裁鐘晨鳴稱,最近三四年,國內持續泄露的互聯網數據,國內總量級達到50億條用戶賬戶信息。 知道創宇是全球知名的互聯網安全公司,其創始團隊在互聯網安全領域服務了十多年,不久前還承擔了APEC期間新聞平臺網絡安全工作。
  此外,騰訊手機管家安全專家陸兆華對21世紀經濟報道記者表示,在互聯網黑色產業鏈內部,成員還存在數據庫共享的機制,非常容易就獲取到不同平臺被成功拖庫的信息,而用戶的敏感信息比如身份證信息、電話號碼、常用密碼都是相對不變的,一旦泄漏就會給用戶造成持續的影響。
  在此事件的發生上一周,由國家信息安全漏洞共享平臺發佈的信息安全漏洞周報顯示,2014 年 12 月 15 日至2014 年 12 月 21 日,國家信息安全漏洞共享平臺(以下簡稱 CNVD)本周共收集、整理信息安全漏洞 144 個。上述漏洞中,可利用來實施遠程攻擊的漏洞有 128 個。截至報告發佈時間,已有 119 個漏洞由廠商提供了修補方案。
  獵豹移動安全專家李鐵軍指出,中國的互聯網化進程非常快,很多傳統行業,比如政府、醫療、航空、保險等等,都採用信息化開發業務。但是,這些企業的安全意識轉變並沒有跟上,企業的安全管理、安全人才儲備不足,很容易被攻擊,造成信息泄露。“所以,有的客戶剛剛訂了機票,就收到機票相關的詐騙電話、短信。”
  北京銀庫副總裁杜占源對21世紀經濟報道記者表示,對於絕大多數的數據泄露來講是因為網站自身存在安全漏洞引起的。目前很多非金融類的網站也進行實名制,但這些網站未必採取了很好的安全措施,一旦這類網站存在漏洞,用戶身份證的關鍵信息必然泄露。
  據央行制定的《銀行卡收單業務管理辦法》規定,“收單單位不得以任何形式儲存銀行卡的敏感信息”,但一些網站往往突破此規定。在攜程網“漏洞門”事件中,攜程網堅持沒有過度搜集用戶信息,其理由是:“未扣款成功的CVV碼信息會被暫存7天,目的是協助用戶便捷支付。”
  12306泄露事件發生至今,尚未暴出泄露的個人信息中包括用戶購票的銀行卡信息。
  泄露事件同樣引起了對網絡實名制的討論。“韓國網絡實名制半途而廢的原因,就是無法解決大規模個人信息泄露問題”,中國政法大學傳播法研究中心研究員朱巍說。他建議,我國網絡實名制實行過程中,可以考慮規定商業網站無權保管個人核心信息,轉由安保等級更高的公安部平臺管理。
  侵權責任如何劃分?
  2012年12月28日,全國人大常委會通過《關於加強網絡信息保護的決定》後,網絡個人信息保護有了法律依據。今年3月15日施行的新《消費者權益保護法》也增加了保護消費者個人信息的規定。
  最新的司法依據是10月9日,最高法院公佈的《關於審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》,其中首次列舉了個人隱私的範圍。
  “泄露個人信息者一定要承擔相應的侵權責任,問題是誰來承擔”,朱巍告訴記者。
  “如果是12306泄露,要區分為故意泄露還是過失泄露,故意泄露毫無疑問要承擔侵權責任”,朱巍說,“在國外,故意泄露還可以區分為出於商業目的還是非商業目的,如果是商業目的要加大處分力度,但國內司法沒有這樣的區分”。
  如果12306是出於過失導致信息泄露,司法實踐中會採用過錯推定原則確定侵權責任,“即先推定12306存在過錯,然後由12306舉證,證明自己盡到了安保責任”,朱巍說。
  朱巍認為,如果存在12306作為開放平臺,通過開放端口與第三方平臺進行授權合作的情況,即使信息是經第三方泄露,12306也應承擔連帶責任。
  “這幾乎是整個互聯網產業的‘通病’,比如用戶註冊了一家互聯網服務,結果發現自己的信息被授權給了這家網站的合作方”,朱巍說。
  他認為,哪怕用戶在註冊互聯網服務時,對方已經提醒其個人信息可以授權轉讓給合作方,這也不能成為用戶信息泄露時其免責的理由,“因為這是格式合同,用戶如果拒絕就不能完成註冊”,朱巍說。
  只不過,承擔連帶責任的網站,可以按照和第三方網站的內部責任劃分約定,向直接泄露信息的第三方追償。
  “最後一種情況是12306根本不知情,信息泄露源於不可抗力,但12306也要證明自己盡到了安保義務”,朱巍說。(編輯 譚翊飛 張凡 申劍麗)
(原標題:12306用戶信息泄露調查:疑似撞庫,漏洞為什麼沒有及時被補救?)
創作者介紹

2007年5月5日

avxsrw 發表在 痞客邦 PIXNET 留言(0) 人氣()