三问12306网站用户数据泄露事件:哪些漏洞待填补

　　12306可填补哪些漏洞？

　　此次事件之前，在国内漏洞报告平台“乌云网”，12306网站2011年以来被网友指出约60处漏洞。其中，“验证码”问题是屡受诟病的漏洞之一。

　　验证码是用户登录时的一道关卡，只有用户名、密码、验证码都正确才可正常登录。如果验证码措施得当，即使黑客程序掌握了用户名、密码，“试”出其正确性的难度也大大增加。

　　余弦告诉中国青年报记者，在此次“撞库”事件中，12306存在易被“撞库”攻击的接口，该接口没做好安全防御，“原则上应该做好防御，比如，限制一个IP对这个接口的请求频率，超过一定频率或次数就应该采用验证码措施或屏蔽措施。”

　　知道创宇公司并非类似问题的唯一提出者。2014年1月，面对多位网友长期的漏洞提示，12306网站的厂商“中国铁道科学研究院”在乌云网答复网友“debbbbie”时坦言，“关于验证码的事情大家已经说得太多了，让你们受累”。

　　而在2013年12月，厂商在乌云网答复《12306弱验证码可被轻松识别》时还称，验证码搞复杂了，机器和用户都不好认，为了用户体验，公司选择简单验证码。

　　陈钟认为，高强度的安全措施肯定有高成本，一个系统应该设计到什么程度，安全性、方便性要有一个平衡。他相信，随着网络应用、安全风险的掌控逐渐深入，相应的身份鉴别措施会加强，方便性也会得到保障。

　　“从目前来看，这个系统在认证方面所做的要求还是比较低的。相比银行金融系统，比如说使用优盾或其他鉴别方式，它在辨别方面做得还是比较弱的。”陈钟说。

　　在李铁军看来，从网络安全角度来说，12306账号系统可以引入“手机验证码”的机制，仅仅是泄露了用户名、密码，也无法登录这个系统。

　　“当用户换了一台机器，或者换了一个城市，IP地址发生了改变，这个时候，像其他安全公司的大数据支撑一样，就应该判断出来这个用户的账号可能出现了安全隐患，这种情况下，登录是不是要验证用户的手机呢？我觉得加一道关可能会好一些。”他解释。

　　李铁军还发现，只要登录12306网站，就可以看到常用联系人的身份证、手机号等信息，“这方面是不是可以考虑做一个隐藏、技术处理？当这些用户需要修改的时候，才能看到它。第二重验证的时候才可以看到完整的信息，而不是一登录进去就能看到”。

　　陈钟说，对于用户个人，不要设置简单、长期不变的密码。不管系统提供了多强大的认证，这都是用户个人的基本安全措施。

　　为何公共部门多次发生信息泄露事件？

　　在此次事件公开之前，国内“补天”漏洞响应平台也发布了多起信息泄露事件。尽管有关厂商对此已经确认，但媒体鲜有报道。中国青年报记者发现，其中多起事件与政府部门有关。

　　泄露数据量最大的是“全杭州市2003年至今所有近90万名新生婴儿及近180万名父母敏感信息”，包括姓名、年龄、身份证、家庭住址等。12月24日漏洞被网友提交当天，浙江省卫生和计划生育委员会就确认了该漏洞。

　　此外，浙江省卫计委的12万名儿童及家长信息、南京车管所某系统的46万名学员信息等数据，也被网友作为漏洞提交，并得到当事厂商确认。

　　一系列信息泄露事件引起一些网友的猜想。多位人士告诉中国青年报记者，他们在网上报名国家、地方各类考试后，也经常收到推销所谓内部答案的垃圾短信。

　　公开报道中，组织部门对考生收到答案的答复通常是，官方没有泄露考生信息，请考生注意保护个人信息安全。

　　李铁军认为，目前，国内各行各业都希望把自身业务通过互联网技术加以改造，在此过程中，可能由于缺少安全方面的专业人才，便只提供了互联网服务，在数据保护和信息加密方面相对比较弱。

　　“我们现在看到的一些情况就是，普通网民的信息通过各种渠道被泄露出去的概率是非常高的。政府机关、学校，还有其他一些非互联网企业，刚刚开始把它的业务向互联网转型来做的时候，可能安全不是他们首先要考虑的事情，所以这就给一些入侵者造成了机会。”李铁军分析。

　　陈钟告诉记者，现在，医院、学校等政府部门、事业单位的一些系统大多是委托专业公司开发的，很难将“水平低”作为信息泄露的借口，“可能过去由于技术的缺陷，或是对这个不重视，会暴露一些问题。这在以前的信息泄露事件中也曾反映出来”。

　　陈钟说，我们国家现在实行信息等级保护制度，核心的部分在防控，不同等级有不同的要求，这个体系还是完善的，但要看具体的执行和管理，“这方面要加强整合和监督，特别是发生了问题要及时亡羊补牢”。

　　李铁军同样认为，管理机关要重视个人信息的保护，提供这些服务的开发者则应该多考虑安全方面的设计，因为个人信息泄露最终的受害者是网民，存储个人信息的单位基本上没有什么损失。

　　12306网站已走出了亡羊补牢的一步。12月27日，中国铁道科学研究院在“补天”平台中开始悬赏征集漏洞，截至发稿，一条漏洞的悬赏金额为1000元。

　　陈钟评价，采取类似的方式去发现弱点、补漏洞是可取的。12306网站还可以更多地与业界的专业人士、厂商合作，完善制度和系统，“关起门来自己做的方式还是需要改善，要适应现在更开放的互联网的环境”。

　　此前，曾有法学学者在接受中国青年报采访时表示，如果政府部门泄露的信息导致公民受到损失，可以申请国家赔偿。

关键词：泄露,12306,火车票,互联网