您当前的位置:长城网>>数码频道>>焦点资讯

三问12306网站用户数据泄露事件:哪些漏洞待填补

来源: 中国青年报 作者: 卢义杰 2014-12-30 09:05:27
【字号: | | 【背景色 杏仁黄 秋叶褐 胭脂红 芥末绿 天蓝 雪青 灰 银河白(默认色)

 

  12306可填补哪些漏洞?

  此次事件之前,在国内漏洞报告平台“乌云网”,12306网站2011年以来被网友指出约60处漏洞。其中,“验证码”问题是屡受诟病的漏洞之一。

  验证码是用户登录时的一道关卡,只有用户名、密码、验证码都正确才可正常登录。如果验证码措施得当,即使黑客程序掌握了用户名、密码,“试”出其正确性的难度也大大增加。

  余弦告诉中国青年报记者,在此次“撞库”事件中,12306存在易被“撞库”攻击的接口,该接口没做好安全防御,“原则上应该做好防御,比如,限制一个IP对这个接口的请求频率,超过一定频率或次数就应该采用验证码措施或屏蔽措施。”

  知道创宇公司并非类似问题的唯一提出者。2014年1月,面对多位网友长期的漏洞提示,12306网站的厂商“中国铁道科学研究院”在乌云网答复网友“debbbbie”时坦言,“关于验证码的事情大家已经说得太多了,让你们受累”。

  而在2013年12月,厂商在乌云网答复《12306弱验证码可被轻松识别》时还称,验证码搞复杂了,机器和用户都不好认,为了用户体验,公司选择简单验证码。

  陈钟认为,高强度的安全措施肯定有高成本,一个系统应该设计到什么程度,安全性、方便性要有一个平衡。他相信,随着网络应用、安全风险的掌控逐渐深入,相应的身份鉴别措施会加强,方便性也会得到保障。

  “从目前来看,这个系统在认证方面所做的要求还是比较低的。相比银行金融系统,比如说使用优盾或其他鉴别方式,它在辨别方面做得还是比较弱的。”陈钟说。

  在李铁军看来,从网络安全角度来说,12306账号系统可以引入“手机验证码”的机制,仅仅是泄露了用户名、密码,也无法登录这个系统。

  “当用户换了一台机器,或者换了一个城市,IP地址发生了改变,这个时候,像其他安全公司的大数据支撑一样,就应该判断出来这个用户的账号可能出现了安全隐患,这种情况下,登录是不是要验证用户的手机呢?我觉得加一道关可能会好一些。”他解释。

  李铁军还发现,只要登录12306网站,就可以看到常用联系人的身份证、手机号等信息,“这方面是不是可以考虑做一个隐藏、技术处理?当这些用户需要修改的时候,才能看到它。第二重验证的时候才可以看到完整的信息,而不是一登录进去就能看到”。

  陈钟说,对于用户个人,不要设置简单、长期不变的密码。不管系统提供了多强大的认证,这都是用户个人的基本安全措施。

  为何公共部门多次发生信息泄露事件?

  在此次事件公开之前,国内“补天”漏洞响应平台也发布了多起信息泄露事件。尽管有关厂商对此已经确认,但媒体鲜有报道。中国青年报记者发现,其中多起事件与政府部门有关。

  泄露数据量最大的是“全杭州市2003年至今所有近90万名新生婴儿及近180万名父母敏感信息”,包括姓名、年龄、身份证、家庭住址等。12月24日漏洞被网友提交当天,浙江省卫生和计划生育委员会就确认了该漏洞。

  此外,浙江省卫计委的12万名儿童及家长信息、南京车管所某系统的46万名学员信息等数据,也被网友作为漏洞提交,并得到当事厂商确认。

  一系列信息泄露事件引起一些网友的猜想。多位人士告诉中国青年报记者,他们在网上报名国家、地方各类考试后,也经常收到推销所谓内部答案的垃圾短信。

  公开报道中,组织部门对考生收到答案的答复通常是,官方没有泄露考生信息,请考生注意保护个人信息安全。

  李铁军认为,目前,国内各行各业都希望把自身业务通过互联网技术加以改造,在此过程中,可能由于缺少安全方面的专业人才,便只提供了互联网服务,在数据保护和信息加密方面相对比较弱。

  “我们现在看到的一些情况就是,普通网民的信息通过各种渠道被泄露出去的概率是非常高的。政府机关、学校,还有其他一些非互联网企业,刚刚开始把它的业务向互联网转型来做的时候,可能安全不是他们首先要考虑的事情,所以这就给一些入侵者造成了机会。”李铁军分析。

  陈钟告诉记者,现在,医院、学校等政府部门、事业单位的一些系统大多是委托专业公司开发的,很难将“水平低”作为信息泄露的借口,“可能过去由于技术的缺陷,或是对这个不重视,会暴露一些问题。这在以前的信息泄露事件中也曾反映出来”。

  陈钟说,我们国家现在实行信息等级保护制度,核心的部分在防控,不同等级有不同的要求,这个体系还是完善的,但要看具体的执行和管理,“这方面要加强整合和监督,特别是发生了问题要及时亡羊补牢”。

  李铁军同样认为,管理机关要重视个人信息的保护,提供这些服务的开发者则应该多考虑安全方面的设计,因为个人信息泄露最终的受害者是网民,存储个人信息的单位基本上没有什么损失。

  12306网站已走出了亡羊补牢的一步。12月27日,中国铁道科学研究院在“补天”平台中开始悬赏征集漏洞,截至发稿,一条漏洞的悬赏金额为1000元。

  陈钟评价,采取类似的方式去发现弱点、补漏洞是可取的。12306网站还可以更多地与业界的专业人士、厂商合作,完善制度和系统,“关起门来自己做的方式还是需要改善,要适应现在更开放的互联网的环境”。

  此前,曾有法学学者在接受中国青年报采访时表示,如果政府部门泄露的信息导致公民受到损失,可以申请国家赔偿。

 

关键词:泄露,12306,火车票,互联网

责任编辑:王莹