为什么会有这么大的漏洞?
不过,邬迪称,“此事目前还无法下定论。”
在12306网站在发布上述提示公告时,还特别提醒旅客不要使用第三方抢票软件购票。这使得外界怀疑,此次泄露事件由第三方抢票软件而起。
一位长期研究刷票软件的人员告诉21世纪经济报道,目前抢票软件发展速度极快,但并不存在十分清晰的盈利模式,因此从第三方软件中泄露数据的可能性也依然存在。
一位从事软件程序开发的技术人员告诉21世纪经济报道记者,这类抢票软件的技术要求一般不高,如果第三方没有严格的保护措施,用户信息就存在不安全的隐患。
对于此,360公司相关人员书面回应称,360抢票王基于360安全浏览器,360安全浏览器的上网安全技术和措施都可以保障抢票王的安全。他们认为,此次12306数据泄露事件与抢票软件无关。
互联网安全专家更关心的是,如果真是撞库造成的泄露,12306网站为什么会留下这么大的漏洞?
“如果这次撞库发生在Google、微软[微博]身上,不可能成功。因为成熟的网站都会在登陆服务器时设置二次验证程序。国内很多网站为了节省成本,并没有设置这一道程序。”猎豹移动安全专家李铁军对记者说。但是,目前并不清楚,此次漏洞是否与验证程序设置有关。
据一位对乌云网比较了解的专业人士称,12306网站从2012年2月开始,在乌云网上被披露的漏洞接近50个,其中涉及用户资料泄漏和敏感信息泄露的漏洞占7%,而还有44%的漏洞可间接导致信息泄漏,例如命令执行漏洞和SQL注射漏洞。
而这些被监测到的漏洞都持续了很长时间。这位专业人士称,他们也不明白为什么这些漏洞一直没有被补救。
360安全专家安扬也认为,12306网站被撞库,说明12306账号安全体系仍需要进一步完善,尽可能及时发现并阻断黑客撞库攻击。
据21世纪经济报道此前的报道,12306网站由铁科院开发,铁科院是原铁道部下属的单位。
一位从事高铁安全行业的人士对记者称,其实早在之前,铁科院内部已经发现这一问题,但至今尚未完全解决,直到如今东窗事发。
黑色产业链
安扬对记者介绍,目前在互联网上公开流传的用户数据很多,仅2012年CSDN、天涯的泄露数据就超过2亿条,今年还出现了携程、如家、当当的泄露事件。
另据知道创宇旗下的网络空间搜索引擎ZoomEye统计,中国目前至少有13000台服务器存在破壳漏洞,全球大概有140000台主机存在风险。
知道创宇技术副总裁钟晨鸣称,最近三四年,国内持续泄露的互联网数据,国内总量级达到50亿条用户账户信息。知道创宇是全球知名的互联网安全公司,其创始团队在互联网安全领域服务了十多年,不久前还承担了APEC期间新闻平台网络安全工作。
此外,腾讯手机管家安全专家陆兆华对记者表示,在互联网黑色产业链内部,成员还存在数据库共享的机制,非常容易就获取到不同平台被成功拖库的信息,而用户的敏感信息比如身份证信息、电话号码、常用密码都是相对不变的,一旦泄漏就会给用户造成持续的影响。
在此事件的发生上一周,由国家信息安全漏洞共享平台发布的信息安全漏洞周报显示,2014 年12月15日至2014年12月21日,国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞144个。上述漏洞中,可利用来实施远程攻击的漏洞有128个。截至报告发布时间,已有 119个漏洞由厂商提供了修补方案。
猎豹移动安全专家李铁军指出,中国的互联网化进程非常快,很多传统行业,比如政府、医疗、航空、保险等等,都采用信息化开发业务。但是,这些企业的安全意识转变并没有跟上,企业的安全管理、安全人才储备不足,很容易被攻击,造成信息泄露。“所以,有的客户刚刚订了机票,就收到机票相关的诈骗电话、短信。”
北京银库副总裁杜占源对记者表示,对于绝大多数的数据泄露来讲是因为网站自身存在安全漏洞引起的。目前很多非金融类的网站也进行实名制,但这些网站未必采取了很好的安全措施,一旦这类网站存在漏洞,用户身份证的关键信息必然泄露。
据央行制定的《银行卡收单业务管理办法》规定,“收单单位不得以任何形式储存银行卡的敏感信息”,但一些网站往往突破此规定。在携程网“漏洞门”事件中,携程网坚持没有过度搜集用户信息,其理由是:“未扣款成功的CVV码信息会被暂存7天,目的是协助用户便捷支付。”
12306泄露事件发生至今,尚未暴出泄露的个人信息中包括用户购票的银行卡信息。
泄露事件同样引起了对网络实名制的讨论。“韩国网络实名制半途而废的原因,就是无法解决大规模个人信息泄露问题”,中国政法大学传播法研究中心研究员朱巍说。他建议,我国网络实名制实行过程中,可以考虑规定商业网站无权保管个人核心信息,转由安保等级更高的公安部平台管理。
侵权责任如何划分?
2012年12月28日,全国人大常委会通过《关于加强网络信息保护的决定》后,网络个人信息保护有了法律依据。今年3月15日施行的新《消费者权益保护法》也增加了保护消费者个人信息的规定。
最新的司法依据是10月9日,最高法院公布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,其中首次列举了个人隐私的范围。
“泄露个人信息者一定要承担相应的侵权责任,问题是谁来承担”,朱巍告诉记者。
“如果是12306泄露,要区分为故意泄露还是过失泄露,故意泄露毫无疑问要承担侵权责任”,朱巍说,“在国外,故意泄露还可以区分为出于商业目的还是非商业目的,如果是商业目的要加大处分力度,但国内司法没有这样的区分”。
如果12306是出于过失导致信息泄露,司法实践中会采用过错推定原则确定侵权责任,“即先推定12306存在过错,然后由12306举证,证明自己尽到了安保责任”,朱巍说。
朱巍认为,如果存在12306作为开放平台,通过开放端口与第三方平台进行授权合作的情况,即使信息是经第三方泄露,12306也应承担连带责任。
“这几乎是整个互联网产业的‘通病’,比如用户注册了一家互联网服务,结果发现自己的信息被授权给了这家网站的合作方”,朱巍说。
他认为,哪怕用户在注册互联网服务时,对方已经提醒其个人信息可以授权转让给合作方,这也不能成为用户信息泄露时其免责的理由,“因为这是格式合同,用户如果拒绝就不能完成注册”,朱巍说。
只不过,承担连带责任的网站,可以按照和第三方网站的内部责任划分约定,向直接泄露信息的第三方追偿。
“最后一种情况是12306根本不知情,信息泄露源于不可抗力,但12306也要证明自己尽到了安保义务”,朱巍说。
