正值春运抢票白热化阶段,12306网站用户数据信息发生大规模泄漏。事发后,12306以及第三方抢票软件双方各执一词,均认为此次用户信息被泄漏与己方无关。即便嫌犯迅速落网,但互联网信息安全再次敲响警钟。
泄漏风波
在从网上拿到12306网站泄漏的用户信息之后,李杰第一时间便查询了里面是否有他的注册ID。
“我拿到的txt文本里,约有13万用户信息,查了一下,发现里面没有我的,我也就放心了。”李杰告诉新金融记者。
他是一名来自电子书应用宜搜公司的程序员。在他拿到的用户泄漏信息中,用用户名对应密码,尝试了多个,均显示登录成功状态。这也就意味着,其可以很简单地在该12306用户不知情的情况下,进行买、退票动作。
不过这毕竟是一件违背道德,并违背职业精神的事情。他没有这么做,只是帮助周围的朋友查询他们的信息是否处于泄漏之列。
这就是从12月25日上午开始爆发的12306官网用户信息泄露风波。当天第三方漏洞报告平台乌云网发布检测信息称,大量12306用户数据在互联网传播售卖,已知公开传播的数据库涉及用户数超过13万条,包括用户账号、明文密码、身份证、邮箱、信用卡信息、购买记录等。
报告称,泄露途径目前未知,无法确认是12306官方还是第三方抢票平台泄露,漏洞已提交至国家互联网应急中心处理。
新金融记者从相关网站了解到,泄露数据信息的文件标题为《12306邮箱-密码-姓名-身份证-手机.txt》,共计131653条记录,文件约14M,这便是李杰所获得的泄漏信息文本。
发布12306官网用户信息泄露信息的乌云网正是一家专注于互联网安全漏洞报告的平台。
其“白帽子”(正面黑客,识别计算机系统或网络系统中的安全漏洞,但不会恶意去利用,而是公布其漏洞)成员之一王音此前曾告诉新金融记者,当用户把安全性作为选择企业产品的考量之一时,企业就会加大投入,开发人员就会有更多的资源和动力去处理安全问题,从而营造出越来越好的安全生态。促使这个生态形成,就是乌云白帽子团队要做的事情。
据了解,在乌云网发布12306用户信息泄漏之后不久,12306就知道了此消息,并与乌云网取得联系,表示会认真调查此事,并在日后发布公告。
事实上,这并不是12306首次用户数据泄漏。此前乌云网也曾发布过类似报告,但泄漏规模并没有此次这么大。
多位受访人士向新金融记者表示了担心。由于购票行为与银行卡支付紧密相连,很多用户选择了更改12306登录密码,以免遭受损失。
谁的责任
在泄漏事件发生一天后,即12月26日上午,12306宣布中国铁路总公司官方微博“中国铁路”公告,铁路公安机关已经将中国铁路客户服务中心网站(即12306网站)信息泄漏嫌犯抓获。
“中国铁路”称,2014年12月25日晚间铁路公安将嫌疑人蒋某某、施某某成功抓获,嫌疑人通过手机互联网某游戏网站以及其他多个网站泄漏的用户名加密码信息,尝试登录其他网站进行“撞库”,非法获取用户的信息,并谋取非法利益。同时,铁路方面再次重申,旅客要通过12306官方网站购票,不要使用第三方抢票软件或委托第三方网站购票,防止个人身份信息外泄。
据了解,所谓“撞库”是指黑客通过收集网络上已泄露的用户名及密码等信息,然后到多个网站尝试批量登录,得到一批可以登录的用户账号及密码。
“根据12306公告,很明显将12306用户信息数据为何发生泄漏推向了第三方抢票软件。”一位从事网络安全的互联网人士告诉新金融记者,从12306官网在事件发生当时发布的声明,再到现今的公告,均是如此表态。
但就铁路方面的回应,第三方软件厂商并不买账。包括360、UC、猎豹等提供抢票功能的浏览器均对外否认此次用户数据泄漏与自身有关。其中猎豹移动安全专家李铁军表示,猎豹抢票插件不保存用户数据,因而不会造成用户数据泄露的问题;同时猎豹也不提供离线抢票功能,因此不存在明文密码泄露问题。
李杰对新金融记者表示,安全问题可以出现在任何地方,目前没有测试很难明确责任。不过他认为,此次发生用户泄漏事件,12306仍需继续完善。
据了解,创宇安全研究团队在事发后曾随机联系了该批数据中的多个用户,均反馈说近期没有使用过抢票软件或没有购票行为。在春运抢票正值白热化阶段,出现用户数据泄漏事件,无疑让互联网安全再度成为人们关注的焦点。
近年来此类事件屡有发生。近有携程用户个人信息被泄露,远有csdn用户资料泄密。
“很多互联网公司出现的安全漏洞,归根到底是要质还是要量的问题。网站为了快速发展用户,有时候可能在系统调试中出现不严谨的情况,大部分被黑客攻击,都是因为网站调试或者更新时出现后门。”上述从事网络安全的互联网人士告诉新金融记者,不出问题就永远没有问题,大多数公司都是这么想的。
他认为,国内对信息安全的重视程度一直不高,都是等出事了才重视一次。几乎没有几个公司有专门的安全预防控制部门,其实这是很有必要的。