据中国之声《新闻晚高峰》报道,这几天,微信朋友圈里关于12306网站用户信息遭泄密、赶紧改密码的消息一时闹得人心惶惶。国内最大的漏洞报告平台乌云 官网25日爆出,大约13万条12306用户数据在互联网上被泄露并疯传。这意味着黑客完全可以利用用户12306账号进行买票、退票等操作。
很快,在当天晚上,铁路警方就迅速抓获了泄密嫌疑人。虽然此后12306网站回应称,此次信息泄露是经其他网站或渠道泄出,但就在昨天(27日),12306网站却出现在了“补天”全球最大漏洞响应平台上,最高“悬赏“2000元,号召网友提供漏洞信息。
重金悬赏查找网站漏洞,到底能够帮助12306解决多少问题呢?
悬赏寻找在逃疑犯的线索,这样的事情自古就有。而悬赏寻找自己网络漏洞的,却是最近几年才冒出来的新生事物。尽管12306网站并没有大张旗鼓地宣扬,但昨天开始,它的名字已经赫然出现在了“补天”——这个被称作全球最大的漏洞响应平台的首页上。这究竟是个什么网站?它是如何获得那么多漏洞信息的呢?360补天漏洞响应平台中心负责人赵武作出解释。
赵武:不止是12306,有很多厂商他都有很多安全漏洞,但是他可能没有这个搜集的渠道,因为他不会跟成千上万的白帽子建立一种联系,那我们其实作用就在于跟这些成千上万的白帽子,建立了一种比较顺畅的联系。那同时这次12306介入进来是有一个契机,因为当时白帽子已经发现了大概有几个12306的漏洞,提交到我们平台来了,然后我们在通知给12306过程中,12306他觉得通知的流程对他们是很有价值的,而且那些漏洞也是有价值的,于是他就说,能不能通过建立一种私有的只要有现金奖励,白帽子发漏洞的积极性就会大很多。
赵武口中的“白帽子”听上去就是一群网络高手,实际上,有人认为可以将他们理解成是正义的“黑客”。他们擅长网络技术、乐于寻找漏洞,但白帽子的做法不是依靠攻击漏洞牟利,而是将漏洞公开、提交企业,帮助他们改善网络。
记者今天登陆补天平台网站看到,12306网站赫然显示在首页的显著位置。截至发稿时,已经有19人提交了漏洞,发现的有效漏洞达到了16条,领走的奖金总额达到了4050元。不过,昨天最高2000块钱的“悬赏”金额现在已经被厂家自主降低到了1000块钱。
赵武表示,加入“私有安全”行列并提出奖金可以大大提高白帽子们提供漏洞信息的积极性。
赵武:他是一个漏洞2000他是尚不封顶,就比如说我收到一百个,那可能就是二十万,我收到一千个可能就是两百万,那通过这种模式,昨天已经通报了很多,大概十几个漏洞给12306,以后这种合作就形成一种长期有效的形式,只要有白帽子,在互联网上发现了12306的,我们都会第一时间通知给12306进行一个修补。
而此前,有媒体报道称,大量12306网站用户信息遭泄露,已知公开传播的数据库涉及的用户数据超过13万条。尽管嫌疑人迅速被抓获,也查明是利用网上别的用户信息一个个尝试“撞库”得到的,相关的12306手机APP漏洞也已经修复,但由此造成的信息泄露损失却是覆水难收了。赵武表示,在360补天平台上建立私有安全应急响应中心可以主动防御今后再出现类似情况。
赵武:因为这个所有的目前导致的信息泄露也好,或者是黑客攻击也好,他都是由于存在某些漏洞来的,所以我们现在这种合作以后会定期的,陆续的把这种发现的漏洞都通报给12306,他们只要进行及时的修补,撞库它就不成功了。