三维扣板厂家
免费服务热线

Free service

hotline

010-00000000
三维扣板厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

12306泄漏调查疑似撞库漏洞为什么没及时补救

发布时间:2020-03-10 11:16:35 阅读: 来源:三维扣板厂家

A5交易A5任务 SEO诊断淘宝客 站长团购

这不是12306网站第一次产生用户信息泄漏事件了,但是最大的一次。

12306官方网站当日公告称,经认真核对,此泄漏信息全部含有用户的明文密码。12306网站数据库所有用户密码均为屡次加密的非明文转换码,网上泄漏的用户信息系经其他网站或渠道流出。目前,公安机关已参与调查。

12月25日上午10:59,乌云网发布漏洞报告称,大量12306用户数据在网络上疯狂传播。

而此时,正是春运购票的关键时刻,12306网站每天的访问量都很惊人。

乌云网创始人邬迪告知21世纪经济报导记者,这是乌云网历史上,第一次如此大规模的铁路用户数据泄漏。

据了解,本次泄漏事件被泄漏的数据达131653 条,包括用户账号、明文密码、身份证和邮箱等多种信息。

乌云网是一家专注于互联网安全漏洞报告的平台。邬迪介绍称,乌云网每天都会对各项数据进行监测,12306事件只是今天的一项内容。但此前,他们也曾报告过12306网站泄漏用户信息的情况。

对这次用户信息泄漏事件,网络议论热烈。有网友担心,这些泄漏的信息是不是包括购票进程使用的银行卡等信息等。专业人士建议,如果用户在其他网站也使用了12306网站一样的用户名和密码,应当修改密码。

多位接受21世纪经济报导记者采访的安全专家对此事件分析认为,这次极可能是黑客撞库行动造成的,而非12306网站直接泄漏,但一样说明12306网站仍存在安全漏洞。不过,也有一些专家认为事件缘由仍不明。

对于此事件的影响,中国政法大学传播法研究中心研究员朱巍分析称,如果12306是出于过失致使信息泄漏,司法实践中会采取错误推定原则肯定侵权责任,即先推定12306存在错误,然后由12306举证,证明自己尽到了安保责任,朱巍说。

泄漏缘由何在?

乌云网创始人邬迪告知21世纪经济报导记者,12月25日上午10:59,在事件产生后,乌云网立刻进行了核对,在确认该消息的真实可靠性后对此事进行了发布。

不久后12306就在第一时间知道了此消息,并与乌云网获得联系,表示会认真调查此事,并在往后发布公告。

下午14:15,乌云网通过新浪微博发布了消息称,数据疑似黑客撞库后整理得到,而并不是12306直接泄漏,请用户及时修改密码同时慎用抢票工具。

邬迪也对21世纪经济报导记者称,所谓撞库就是黑客通过搜集网络上已泄漏的用户名及密码信息,生成对应的字典表,到其他网站尝试批量登录,得到一批可以登录的用户账号及密码。

登录用户的后台后,可能存在邮箱、手机号码、身份证号码被泄漏、账务积分和账户余额流失等多种风险。

如果用户及时修改原始密码就可以规避撞库风险。邬迪说,但这并不等于自己的信息就完全安全了。

邬迪告知记者,除撞库,还有另一种方式叫做拖库。黑客通过技术直接下载某平台的全部数据库。但本次12306泄漏可以排除拖库的可能性。

在业内人士看来,拖库是指入侵有价值的网络站点,把数据库全部盗走的行动。盗取数据后,黑客会通过一系列的技术手段清洗数据,并在黑市上将有价值的用户数据变现交易,此为洗库。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做撞库。

浪潮电子信息安全事业部副总经理蔡一兵对21世纪经济报导记者称,在互联网的黑市里有一个非常成熟的产业链,有一个非常成熟的构成利益进程:拖库、洗库和撞库。

针对此次泄漏事件的缘由,360互联网安全中心的安全研究人员非常肯定地以书面方式回答21世纪经济报导经济的采访函时表示,此次12306网站信息泄漏是被黑客撞库造成的。

其理由是,经过他们安全研究人员的调查发现,第一、几近所有13万条12306账号密码,都可以在此前多家游戏网站泄漏的密码库中匹配到相应的记录。说明黑客用多家游戏网站的密码库对12306发动撞库攻击,挑选出13万余条使用相同账号密码的用户数据。第二,通过对12306泄漏数据中的相干用户进行抽样调查,超过半数没有使用任何抢票软件,其余则是使用不同的抢票软件。

在今天的泄漏事件产生后,网上曾流传称,有18G的完全12306数据库被泄漏,但是目前并没有人在网上找到过这个数据库。

泄漏事件产生后,12306发布公告称网上泄漏的用户信息系经其他网站或渠道流出,缘由是12306网站使用的是屡次加密的密码,而泄漏的是明文密码。分析人士称,这也从另一个侧面说明,这些密码可能不是从12306网站泄漏出去的。

据乌云官网发布的消息称,漏洞已交由第三方厂商国家互联网应急中心处理。12月25日,国家互联网应急中心人士对21世纪经济报导记者表示:事件正在调查当中,结果以官网发布为准。

一名网络安全研究人员对21世纪经济报导记者称,12306网站第一时间知道这个事情的,并发布了公告,但是几个小时过去了,那些用户名和密码还可以登录,并可能被用于更改他人密码、找到他人的电话号码,乃至帮人家退票,他们为何不紧急通过技术手段,短信通知用户,将泄漏的用户密码强迫更改或提示客户更改?

为何会有这么大的漏洞?

不过,邬迪称,此事目前还没法下定论。

在12306网站在发布上述提示公告时,还特别提示旅客不要使用第三方抢票软件购票。这使得外界怀疑,此次泄漏事件由第三方抢票软件而起。

一名长时间研究刷票软件的人员告知21世纪经济报导,目前抢票软件发展速度极快,但其实不存在十分清晰的盈利模式,因此从第三方软件中泄漏数据的可能性也仍然存在。

一名从事软件程序开发的技术人员告知21世纪经济报导记者,这类抢票软件的技术要求一般不高,如果第三方没有严格的保护措施,用户信息就存在不安全的隐患。

对于此,360公司相干人员书面回应称,360抢票王基于360安全浏览器,360安全浏览器的上网安全技术和措施都可以保障抢票王的安全。他们认为,此次12306数据泄漏事件与抢票软件无关。

互联网安全专家更关心的是,如果真是撞库造成的泄漏,12306网站为何会留下这么大的漏洞?

如果这次撞库产生在Google、微软身上,不可能成功。由于成熟的网站都会在登陆服务器时设置二次验证程序。国内很多网站为了节省本钱,并没有设置这一道程序。 猎豹移动安全专家李铁军对21世纪经济报导说。但是,目前其实不清楚,此次漏洞是不是与验证程序设置有关。

据一名对乌云网比较了解的专业人士称,12306网站从2012年2月开始,在乌云网上被表露的漏洞接近50个,其中触及用户资料泄漏和敏感信息泄漏的漏洞占7%,而还有44%的漏洞可间接致使信息泄漏,例如命令履行漏洞和SQL注射漏洞。

而这些被监测到的漏洞都延续了很长时间。这位专业人士称,他们也不明白为何这些漏洞一直没有被补救。

360安全专家安扬也认为,12306网站被撞库,说明12306账号安全体系仍需要进一步完善,尽量及时发现并阻断黑客撞库攻击。

据21世纪经济报导此前的报导, 12306网站由铁科院开发,铁科院是原铁道部下属的单位。

一名从事高铁安全行业的人士对21世纪经济报导记者称,其实早在之前,铁科院内部已发现这1问题,但至今还没有完全解决,直到如今东窗事发。

黑色产业链

安扬对21世纪经济报导记者介绍,目前在互联网上公然流传的用户数据很多,仅2012年CSDN、天涯的泄漏数据就超过2亿条,今年还出现了携程、如家、铛铛的泄漏事件。

另据知道创宇旗下的网络空间搜索引擎ZoomEye统计,中国目前最少有13000台服务器存在破壳漏洞,全球大概有140000台主机存在风险。

知道创宇技术副总裁钟晨鸣称,最近三四年,国内延续泄漏的互联网数据,国内总量级到达50亿条用户账户信息。 知道创宇是全球知名的互联网安全公司,其开创团队在互联网安全领域服务了10多年,不久前还承当了APEC期间新闻平台网络安全工作。

另外,腾讯手机管家安全专家陆兆华对21世纪经济报导记者表示,在互联网黑色产业链内部,成员还存在数据库同享的机制,非常容易就获得到不同平台被成功拖库的信息,而用户的敏感信息比如身份证信息、电话号码、经常使用密码都是相对不变的,一旦泄漏就会给用户造成延续的影响。

在此事件的产生上一周,由国家信息安全漏洞同享平台发布的信息安全漏洞周报显示,2014 年 12 月 15 日至2014 年 12 月 21 日,国家信息安全漏洞同享平台(以下简称 CNVD)本周共搜集、整理信息安全漏洞 144 个。上述漏洞中,可利用来实行远程攻击的漏洞有 128 个。截至报告发布时间,已有 119 个漏洞由厂商提供了修补方案。

猎豹移动安全专家李铁军指出,中国的互联网化进程非常快,很多传统行业,比如政府、医疗、航空、保险等等,都采取信息化开发业务。但是,这些企业的安全意识转变并没有跟上,企业的安全管理、安全人材储备不足,很容易被攻击,造成信息泄漏。所以,有的客户刚刚订了机票,就收到机票相干的欺骗电话、短信。

北京银库副总裁杜占源对21世纪经济报导记者表示,对绝大多数的数据泄漏来说是由于网站本身存在安全漏洞引发的。目前很多非金融类的网站也进行实名制,但这些网站未必采取了很好的安全措施,一旦这类网站存在漏洞,用户身份证的关键信息必定泄漏。

据央行制定的《银行卡收单业务管理办法》规定,收单单位不得以任何情势贮存银行卡的敏感信息,但一些网站常常突破此规定。在携程网漏洞门事件中,携程网坚持没有过度搜集用户信息,其理由是:未扣款成功的CVV码信息会被暂存7天,目的是协助用户便捷支付。

12306泄漏事件产生至今,还没有暴出泄漏的个人信息中包括用户购票的银行卡信息。

泄漏事件一样引发了对网络实名制的讨论。韩国网络实名制半途而废的缘由,就是没法解决大规模个人信息泄漏问题,中国政法大学传播法研究中心研究员朱巍说。他建议,我国网络实名制实行进程中,可以斟酌规定商业网站无权保管个人核心信息,转由安保等级更高的公安部平台管理。

侵权责任如何划分?

2012年12月28日,全国人大常委会通过《关于加强网络信息保护的决定》后,网络个人信息保护有了法律依据。今年3月15日实施的新《消费者权益保护法》也增加了保护消费者个人信息的规定。

最新的司法根据是10月9日,最高法院公布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,其中首次罗列了个人隐私的范围。

泄漏个人信息者一定要承当相应的侵权责任,问题是谁来承当,朱巍告知记者。

如果是12306泄漏,要辨别为故意泄漏还是过失泄漏,故意泄漏毫无疑问要承当侵权责任,朱巍说,在国外,故意泄漏还可以辨别为出于商业目的还是非商业目的,如果是商业目的要加大处罚力度,但国内司法没有这样的辨别。

如果12306是出于过失致使信息泄漏,司法实践中会采取错误推定原则肯定侵权责任,即先推定12306存在错误,然后由12306举证,证明自己尽到了安保责任,朱巍说。

朱巍认为,如果存在12306作为开放平台,通过开放端口与第三方平台进行授权合作的情况,即便信息是经第三方泄漏,12306也应承当连带责任。

这几近是全部互联网产业的通病,比如用户注册了一家互联网服务,结果发现自己的信息被授权给了这家网站的合作方,朱巍说。

他认为,哪怕用户在注册互联网服务时,对方已提示其个人信息可以授权转让给合作方,这也不能成为用户信息泄漏时其免责的理由,由于这是格式合同,用户如果谢绝就不能完成注册,朱巍说。

只不过,承当连带责任的网站,可以依照和第三方网站的内部责任划分约定,向直接泄漏信息的第三方追偿。

最后一种情况是12306根本不知情,信息泄漏源于不可抗力,但12306也要证明自己尽到了安保义务,朱巍说。

本报记者 吴燕雨 陈宝亮 王峰 杨志锦 孙春芳 申剑丽 北京报导

中国神华能源股份有限公司神朔铁路分公司

中铁二局集团有限公司城通分公司

中铁第一勘察设计院集团有限公司

珠海光宇电池有限公司