2024年11月25日 星期一

科技 > 網際網路 > 正文

字號:  

三問12306網站用戶數據洩露事件

  • 發佈時間:2014-12-30 07:55:51  來源:中國青年報  作者:佚名  責任編輯:書海

  身陷數據洩露事件的12306網站,終於開始懸賞徵集漏洞。

  12月25日,這家被廣泛用於訂購火車票的官方網站,被指流出約13萬用戶數據。其中包括姓名、身份證號、手機號、用戶名、密碼等敏感資訊。

  儘管鐵路警方調查宣稱事件由駭客“撞庫”導致,數據並非從12306網站洩露,但12306網站的安全體系仍有完善的空間。

  誰洩露,洩露了多少用戶數據?

  誰洩露了用戶數據?洩露的數據總量有多少?在多位網際網路安全人士看來,綜合目前消息,極有可能是“撞庫”導致數據洩露,且洩露的數據可能不止13萬用戶。

  “撞庫”是一種駭客攻擊方式。駭客會收集在網路上已洩露的用戶名、密碼等資訊,之後用技術手段前往一些網站逐個“試”著登錄,最終“撞大運”地“試”出一些可以登錄的用戶名、密碼。

  顯然,“撞庫”成功的一個前提是,用戶在多家網站註冊的用戶名、密碼都相同。多位網際網路安全人士經過分析,均認為此次事件“應該是撞庫造成的”,“用戶名、密碼都沒改”。

  第三方網路安全機構“知道創宇”技術副總裁余弦告訴中國青年報記者,公司研究團隊在幾家網站2012年、2013年洩露的用戶數據中抽取50個作為樣本,與此次13萬用戶數據進行比對,“匹配度有100%”。

  “獵豹移動”安全專家李鐵軍也表示,他們將前幾年駭客圈流傳出的上億條洩露數據進行比對,“絕大部分都是和以往的庫是重合的”。

  12月26日,中國鐵道總公司公開證實了這一點。公司官方微網志稱,鐵路公安機關於12月25日晚將嫌疑人蔣某某、施某某成功抓獲,嫌疑人通過手機網際網路某遊戲網站以及其他多個網站泄漏的用戶名加密碼資訊,嘗試登陸其他網站進行“撞庫”,非法獲取用戶的其他資訊,並謀取非法利益。

  不過,李鐵軍推測,如果用以往那麼大的數據量去“撞”12306網站,從理論上來説,洩露的數據或許不止13萬條,“怎麼著也是百萬級別的。可能這13萬用戶的數據只是在黑色産業鏈非法交易中的一部分樣本”。

  “這次只是暴露了其中一部分的數據。”北京大學電腦科學技術係教授陳鐘認為,“如果沒有人揭露出來,公眾、媒體可能也不清楚現在這個問題”。

  與“撞庫説”同時出現的,是對“搶票軟體洩露數據”的猜測。12月25日,在警方公佈抓獲駭客之前,12306網站發表聲明稱數據係經其他網站或渠道流出,並提醒旅客“不要使用第三方搶票軟體購票,或委託第三方網站購票”,以防止身份資訊外泄。

  然而,中國青年報記者在洩露的13萬用戶數據中隨機撥打了18人的電話,共10人接受採訪,他們均表示自己從未使用過第三方插件購票,有的甚至已將近一年未使用該賬號。

  李鐵軍分析,一些搶票軟體有“離線搶票”的功能,存在一定風險或隱患。軟體在電腦關閉之後,依然可以進行搶票,這意味著用戶名、密碼都交給了第三方。“這樣的情況下,就增加了風險,當然,不能説就一定是他們有問題”。

  他稱,正常的搶票軟體會遵守12306的規則,但一些小公司甚至黃牛開發的搶票軟體“任何可能買到票的手段都會用到”,包括連接速度、破解驗證碼的速度。

  他説,目前網上只公開了13萬條洩露數據,除了撞庫,是否還有其他原因,有待繼續分析和警方調查。

  陳鐘認為,搶票軟體能夠成功搶票,説明系統裏一定有正常的、可以使用的交互過程,“這裡面可能還有其他方面的博弈,或者説管理上的博弈”。

  陳鐘強調,要以事實為依據,如果系統存在設計或管理缺陷,應該加以解決。

  12306可填補哪些漏洞?

  此次事件之前,在國內漏洞報告平臺“烏雲網”,12306網站2011年以來被網友指出約60處漏洞。其中,“驗證碼”問題是屢受詬病的漏洞之一。

  驗證碼是用戶登錄時的一道關卡,只有用戶名、密碼、驗證碼都正確才可正常登錄。如果驗證碼措施得當,即使駭客程式掌握了用戶名、密碼,“試”出其正確性的難度也大大增加。

  余弦告訴中國青年報記者,在此次“撞庫”事件中,12306存在易被“撞庫”攻擊的介面,該介面沒做好安全防禦,“原則上應該做好防禦,比如,限制一個IP對這個介面的請求頻率,超過一定頻率或次數就應該採用驗證碼措施或遮罩措施。”

  知道創宇公司並非類似問題的唯一提出者。2014年1月,面對多位網友長期的漏洞提示,12306網站的廠商“中國鐵道科學研究院”在烏雲網答覆網友“debbbbie”時坦言,“關於驗證碼的事情大家已經説得太多了,讓你們受累”。

  而在2013年12月,廠商在烏雲網答覆《12306弱驗證碼可被輕鬆識別》時還稱,驗證碼搞複雜了,機器和用戶都不好認,為了用戶體驗,公司選擇簡單驗證碼。

  陳鐘認為,高強度的安全措施肯定有高成本,一個系統應該設計到什麼程度,安全性、方便性要有一個平衡。他相信,隨著網路應用、安全風險的掌控逐漸深入,相應的身份鑒別措施會加強,方便性也會得到保障。

  “從目前來看,這個系統在認證方面所做的要求還是比較低的。相比銀行金融系統,比如説使用優盾或其他鑒別方式,它在辨別方面做得還是比較弱的。”陳鐘説。

  在李鐵軍看來,從網路安全形度來説,12306賬號系統可以引入“手機驗證碼”的機制,僅僅是洩露了用戶名、密碼,也無法登錄這個系統。

  “當用戶換了一台機器,或者換了一個城市,IP地址發生了改變,這個時候,像其他安全公司的大數據支撐一樣,就應該判斷出來這個用戶的賬號可能出現了安全隱患,這種情況下,登錄是不是要驗證用戶的手機呢?我覺得加一道關可能會好一些。”他解釋。

  李鐵軍還發現,只要登錄12306網站,就可以看到常用聯繫人的身份證、手機號等資訊,“這方面是不是可以考慮做一個隱藏、技術處理?當這些用戶需要修改的時候,才能看到它。第二重驗證的時候才可以看到完整的資訊,而不是一登錄進去就能看到”。

  陳鐘説,對於用戶個人,不要設置簡單、長期不變的密碼。不管系統提供了多強大的認證,這都是用戶個人的基本安全措施。

  為何公共部門多次發生資訊洩露事件?

  在此次事件公開之前,國內“補天”漏洞響應平臺也發佈了多起資訊洩露事件。儘管有關廠商對此已經確認,但媒體鮮有報道。中國青年報記者發現,其中多起事件與政府部門有關。

  洩露數據量最大的是“全杭州市2003年至今所有近90萬名新生嬰兒及近180萬名父母敏感資訊”,包括姓名、年齡、身份證、家庭住址等。12月24日漏洞被網友提交當天,浙江省衛生和計劃生育委員會就確認了該漏洞。

  此外,浙江省衛計委的12萬名兒童及家長資訊、南京車管所某系統的46萬名學員資訊等數據,也被網友作為漏洞提交,並得到當事廠商確認。

  一系列資訊洩露事件引起一些網友的猜想。多位人士告訴中國青年報記者,他們在網上報名國家、地方各類考試後,也經常收到推銷所謂內部答案的垃圾短信。

  公開報道中,組織部門對考生收到答案的答覆通常是,官方沒有洩露考生資訊,請考生注意保護個人資訊安全。

  李鐵軍認為,目前,國內各行各業都希望把自身業務通過網際網路技術加以改造,在此過程中,可能由於缺少安全方面的專業人才,便只提供了網際網路服務,在數據保護和資訊加密方面相對比較弱。

  “我們現在看到的一些情況就是,普通網民的資訊通過各種渠道被洩露出去的概率是非常高的。政府機關、學校,還有其他一些非網際網路企業,剛剛開始把它的業務向網際網路轉型來做的時候,可能安全不是他們首先要考慮的事情,所以這就給一些入侵者造成了機會。”李鐵軍分析。

  陳鐘告訴記者,現在,醫院、學校等政府部門、事業單位的一些系統大多是委託專業公司開發的,很難將“水準低”作為資訊洩露的藉口,“可能過去由於技術的缺陷,或是對這個不重視,會暴露一些問題。這在以前的資訊洩露事件中也曾反映出來”。

  陳鐘説,我們國家現在實行資訊等級保護制度,核心的部分在防控,不同等級有不同的要求,這個體系還是完善的,但要看具體的執行和管理,“這方面要加強整合和監督,特別是發生了問題要及時亡羊補牢”。

  李鐵軍同樣認為,管理機關要重視個人資訊的保護,提供這些服務的開發者則應該多考慮安全方面的設計,因為個人資訊洩露最終的受害者是網民,存儲個人資訊的單位基本上沒有什麼損失。

  12306網站已走出了亡羊補牢的一步。12月27日,中國鐵道科學研究院在“補天”平台中開始懸賞徵集漏洞,截至發稿,一條漏洞的懸賞金額為1000元。

  陳鐘評價,採取類似的方式去發現弱點、補漏洞是可取的。12306網站還可以更多地與業界的專業人士、廠商合作,完善制度和系統,“關起門來自己做的方式還是需要改善,要適應現在更開放的網際網路的環境”。

  此前,曾有法學學者在接受中國青年報採訪時表示,如果政府部門洩露的資訊導致公民受到損失,可以申請國家賠償。

  • 股票名稱 最新價 漲跌幅