身陷數(shù)據(jù)泄露事件的12306網(wǎng)站，終于開(kāi)始懸賞征集漏洞。

　　12月25日，這家被廣泛用于訂購(gòu)火車(chē)票的官方網(wǎng)站，被指流出約13萬(wàn)用戶數(shù)據(jù)。其中包括姓名、身份證號(hào)、手機(jī)號(hào)、用戶名、密碼等敏感信息。

　　盡管鐵路警方調(diào)查宣稱(chēng)事件由黑客“撞庫(kù)”導(dǎo)致，數(shù)據(jù)并非從12306網(wǎng)站泄露，但12306網(wǎng)站的安全體系仍有完善的空間。

　　誰(shuí)泄露，泄露了多少用戶數(shù)據(jù)？

　　誰(shuí)泄露了用戶數(shù)據(jù)？泄露的數(shù)據(jù)總量有多少？在多位互聯(lián)網(wǎng)安全人士看來(lái)，綜合目前消息，極有可能是“撞庫(kù)”導(dǎo)致數(shù)據(jù)泄露，且泄露的數(shù)據(jù)可能不止13萬(wàn)用戶。

　　“撞庫(kù)”是一種黑客攻擊方式。黑客會(huì)收集在網(wǎng)絡(luò)上已泄露的用戶名、密碼等信息，之后用技術(shù)手段前往一些網(wǎng)站逐個(gè)“試”著登錄，最終“撞大運(yùn)”地“試”出一些可以登錄的用戶名、密碼。

　　顯然，“撞庫(kù)”成功的一個(gè)前提是，用戶在多家網(wǎng)站注冊(cè)的用戶名、密碼都相同。多位互聯(lián)網(wǎng)安全人士經(jīng)過(guò)分析，均認(rèn)為此次事件“應(yīng)該是撞庫(kù)造成的”，“用戶名、密碼都沒(méi)改”。

　　第三方網(wǎng)絡(luò)安全機(jī)構(gòu)“知道創(chuàng)宇”技術(shù)副總裁余弦告訴中國(guó)青年報(bào)記者，公司研究團(tuán)隊(duì)在幾家網(wǎng)站2012年、2013年泄露的用戶數(shù)據(jù)中抽取50個(gè)作為樣本，與此次13萬(wàn)用戶數(shù)據(jù)進(jìn)行比對(duì)，“匹配度有100%”。

　　“獵豹移動(dòng)”安全專(zhuān)家李鐵軍也表示，他們將前幾年黑客圈流傳出的上億條泄露數(shù)據(jù)進(jìn)行比對(duì)，“絕大部分都是和以往的庫(kù)是重合的”。

　　12月26日，中國(guó)鐵道總公司公開(kāi)證實(shí)了這一點(diǎn)。公司官方微博稱(chēng)，鐵路公安機(jī)關(guān)于12月25日晚將嫌疑人蔣某某、施某某成功抓獲，嫌疑人通過(guò)手機(jī)互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個(gè)網(wǎng)站泄漏的用戶名加密碼信息，嘗試登陸其他網(wǎng)站進(jìn)行“撞庫(kù)”，非法獲取用戶的其他信息，并謀取非法利益。

　　不過(guò)，李鐵軍推測(cè)，如果用以往那么大的數(shù)據(jù)量去“撞”12306網(wǎng)站，從理論上來(lái)說(shuō)，泄露的數(shù)據(jù)或許不止13萬(wàn)條，“怎么著也是百萬(wàn)級(jí)別的。可能這13萬(wàn)用戶的數(shù)據(jù)只是在黑色產(chǎn)業(yè)鏈非法交易中的一部分樣本”。

　　“這次只是暴露了其中一部分的數(shù)據(jù)。”北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)系教授陳鐘認(rèn)為，“如果沒(méi)有人揭露出來(lái)，公眾、媒體可能也不清楚現(xiàn)在這個(gè)問(wèn)題”。

　　與“撞庫(kù)說(shuō)”同時(shí)出現(xiàn)的，是對(duì)“搶票軟件泄露數(shù)據(jù)”的猜測(cè)。12月25日，在警方公布抓獲黑客之前，12306網(wǎng)站發(fā)表聲明稱(chēng)數(shù)據(jù)系經(jīng)其他網(wǎng)站或渠道流出，并提醒旅客“不要使用第三方搶票軟件購(gòu)票，或委托第三方網(wǎng)站購(gòu)票”，以防止身份信息外泄。

　　然而，中國(guó)青年報(bào)記者在泄露的13萬(wàn)用戶數(shù)據(jù)中隨機(jī)撥打了18人的電話，共10人接受采訪，他們均表示自己從未使用過(guò)第三方插件購(gòu)票，有的甚至已將近一年未使用該賬號(hào)。

　　李鐵軍分析，一些搶票軟件有“離線搶票”的功能，存在一定風(fēng)險(xiǎn)或隱患。軟件在電腦關(guān)閉之后，依然可以進(jìn)行搶票，這意味著用戶名、密碼都交給了第三方?！斑@樣的情況下，就增加了風(fēng)險(xiǎn)，當(dāng)然，不能說(shuō)就一定是他們有問(wèn)題”。

　　他稱(chēng)，正常的搶票軟件會(huì)遵守12306的規(guī)則，但一些小公司甚至黃牛開(kāi)發(fā)的搶票軟件“任何可能買(mǎi)到票的手段都會(huì)用到”，包括連接速度、破解驗(yàn)證碼的速度。

　　他說(shuō)，目前網(wǎng)上只公開(kāi)了13萬(wàn)條泄露數(shù)據(jù)，除了撞庫(kù)，是否還有其他原因，有待繼續(xù)分析和警方調(diào)查。

　　陳鐘認(rèn)為，搶票軟件能夠成功搶票，說(shuō)明系統(tǒng)里一定有正常的、可以使用的交互過(guò)程，“這里面可能還有其他方面的博弈，或者說(shuō)管理上的博弈”。

　　陳鐘強(qiáng)調(diào)，要以事實(shí)為依據(jù)，如果系統(tǒng)存在設(shè)計(jì)或管理缺陷，應(yīng)該加以解決。

　　12306可填補(bǔ)哪些漏洞？

　　此次事件之前，在國(guó)內(nèi)漏洞報(bào)告平臺(tái)“烏云網(wǎng)”，12306網(wǎng)站2011年以來(lái)被網(wǎng)友指出約60處漏洞。其中，“驗(yàn)證碼”問(wèn)題是屢受詬病的漏洞之一。

　　驗(yàn)證碼是用戶登錄時(shí)的一道關(guān)卡，只有用戶名、密碼、驗(yàn)證碼都正確才可正常登錄。如果驗(yàn)證碼措施得當(dāng)，即使黑客程序掌握了用戶名、密碼，“試”出其正確性的難度也大大增加。

　　余弦告訴中國(guó)青年報(bào)記者，在此次“撞庫(kù)”事件中，12306存在易被“撞庫(kù)”攻擊的接口，該接口沒(méi)做好安全防御，“原則上應(yīng)該做好防御，比如，限制一個(gè)IP對(duì)這個(gè)接口的請(qǐng)求頻率，超過(guò)一定頻率或次數(shù)就應(yīng)該采用驗(yàn)證碼措施或屏蔽措施?！?

　　知道創(chuàng)宇公司并非類(lèi)似問(wèn)題的唯一提出者。2014年1月，面對(duì)多位網(wǎng)友長(zhǎng)期的漏洞提示，12306網(wǎng)站的廠商“中國(guó)鐵道科學(xué)研究院”在烏云網(wǎng)答復(fù)網(wǎng)友“debbbbie”時(shí)坦言，“關(guān)于驗(yàn)證碼的事情大家已經(jīng)說(shuō)得太多了，讓你們受累”。

　　而在2013年12月，廠商在烏云網(wǎng)答復(fù)《12306弱驗(yàn)證碼可被輕松識(shí)別》時(shí)還稱(chēng)，驗(yàn)證碼搞復(fù)雜了，機(jī)器和用戶都不好認(rèn)，為了用戶體驗(yàn)，公司選擇簡(jiǎn)單驗(yàn)證碼。

　　陳鐘認(rèn)為，高強(qiáng)度的安全措施肯定有高成本，一個(gè)系統(tǒng)應(yīng)該設(shè)計(jì)到什么程度，安全性、方便性要有一個(gè)平衡。他相信，隨著網(wǎng)絡(luò)應(yīng)用、安全風(fēng)險(xiǎn)的掌控逐漸深入，相應(yīng)的身份鑒別措施會(huì)加強(qiáng)，方便性也會(huì)得到保障。

　　“從目前來(lái)看，這個(gè)系統(tǒng)在認(rèn)證方面所做的要求還是比較低的。相比銀行金融系統(tǒng)，比如說(shuō)使用優(yōu)盾或其他鑒別方式，它在辨別方面做得還是比較弱的?！标愮娬f(shuō)。

　　在李鐵軍看來(lái)，從網(wǎng)絡(luò)安全角度來(lái)說(shuō)，12306賬號(hào)系統(tǒng)可以引入“手機(jī)驗(yàn)證碼”的機(jī)制，僅僅是泄露了用戶名、密碼，也無(wú)法登錄這個(gè)系統(tǒng)。

　　“當(dāng)用戶換了一臺(tái)機(jī)器，或者換了一個(gè)城市，IP地址發(fā)生了改變，這個(gè)時(shí)候，像其他安全公司的大數(shù)據(jù)支撐一樣，就應(yīng)該判斷出來(lái)這個(gè)用戶的賬號(hào)可能出現(xiàn)了安全隱患，這種情況下，登錄是不是要驗(yàn)證用戶的手機(jī)呢？我覺(jué)得加一道關(guān)可能會(huì)好一些。”他解釋。

　　李鐵軍還發(fā)現(xiàn)，只要登錄12306網(wǎng)站，就可以看到常用聯(lián)系人的身份證、手機(jī)號(hào)等信息，“這方面是不是可以考慮做一個(gè)隱藏、技術(shù)處理？當(dāng)這些用戶需要修改的時(shí)候，才能看到它。第二重驗(yàn)證的時(shí)候才可以看到完整的信息，而不是一登錄進(jìn)去就能看到”。

　　陳鐘說(shuō)，對(duì)于用戶個(gè)人，不要設(shè)置簡(jiǎn)單、長(zhǎng)期不變的密碼。不管系統(tǒng)提供了多強(qiáng)大的認(rèn)證，這都是用戶個(gè)人的基本安全措施。

　　為何公共部門(mén)多次發(fā)生信息泄露事件？

　　在此次事件公開(kāi)之前，國(guó)內(nèi)“補(bǔ)天”漏洞響應(yīng)平臺(tái)也發(fā)布了多起信息泄露事件。盡管有關(guān)廠商對(duì)此已經(jīng)確認(rèn)，但媒體鮮有報(bào)道。中國(guó)青年報(bào)記者發(fā)現(xiàn)，其中多起事件與政府部門(mén)有關(guān)。

　　泄露數(shù)據(jù)量最大的是“全杭州市2003年至今所有近90萬(wàn)名新生嬰兒及近180萬(wàn)名父母敏感信息”，包括姓名、年齡、身份證、家庭住址等。12月24日漏洞被網(wǎng)友提交當(dāng)天，浙江省衛(wèi)生和計(jì)劃生育委員會(huì)就確認(rèn)了該漏洞。

　　此外，浙江省衛(wèi)計(jì)委的12萬(wàn)名兒童及家長(zhǎng)信息、南京車(chē)管所某系統(tǒng)的46萬(wàn)名學(xué)員信息等數(shù)據(jù)，也被網(wǎng)友作為漏洞提交，并得到當(dāng)事廠商確認(rèn)。

　　一系列信息泄露事件引起一些網(wǎng)友的猜想。多位人士告訴中國(guó)青年報(bào)記者，他們?cè)诰W(wǎng)上報(bào)名國(guó)家、地方各類(lèi)考試后，也經(jīng)常收到推銷(xiāo)所謂內(nèi)部答案的垃圾短信。

　　公開(kāi)報(bào)道中，組織部門(mén)對(duì)考生收到答案的答復(fù)通常是，官方?jīng)]有泄露考生信息，請(qǐng)考生注意保護(hù)個(gè)人信息安全。

　　李鐵軍認(rèn)為，目前，國(guó)內(nèi)各行各業(yè)都希望把自身業(yè)務(wù)通過(guò)互聯(lián)網(wǎng)技術(shù)加以改造，在此過(guò)程中，可能由于缺少安全方面的專(zhuān)業(yè)人才，便只提供了互聯(lián)網(wǎng)服務(wù)，在數(shù)據(jù)保護(hù)和信息加密方面相對(duì)比較弱。

　　“我們現(xiàn)在看到的一些情況就是，普通網(wǎng)民的信息通過(guò)各種渠道被泄露出去的概率是非常高的。政府機(jī)關(guān)、學(xué)校，還有其他一些非互聯(lián)網(wǎng)企業(yè)，剛剛開(kāi)始把它的業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)型來(lái)做的時(shí)候，可能安全不是他們首先要考慮的事情，所以這就給一些入侵者造成了機(jī)會(huì)?！崩铊F軍分析。

　　陳鐘告訴記者，現(xiàn)在，醫(yī)院、學(xué)校等政府部門(mén)、事業(yè)單位的一些系統(tǒng)大多是委托專(zhuān)業(yè)公司開(kāi)發(fā)的，很難將“水平低”作為信息泄露的借口，“可能過(guò)去由于技術(shù)的缺陷，或是對(duì)這個(gè)不重視，會(huì)暴露一些問(wèn)題。這在以前的信息泄露事件中也曾反映出來(lái)”。

　　陳鐘說(shuō)，我們國(guó)家現(xiàn)在實(shí)行信息等級(jí)保護(hù)制度，核心的部分在防控，不同等級(jí)有不同的要求，這個(gè)體系還是完善的，但要看具體的執(zhí)行和管理，“這方面要加強(qiáng)整合和監(jiān)督，特別是發(fā)生了問(wèn)題要及時(shí)亡羊補(bǔ)牢”。

　　李鐵軍同樣認(rèn)為，管理機(jī)關(guān)要重視個(gè)人信息的保護(hù)，提供這些服務(wù)的開(kāi)發(fā)者則應(yīng)該多考慮安全方面的設(shè)計(jì)，因?yàn)閭€(gè)人信息泄露最終的受害者是網(wǎng)民，存儲(chǔ)個(gè)人信息的單位基本上沒(méi)有什么損失。

　　12306網(wǎng)站已走出了亡羊補(bǔ)牢的一步。12月27日，中國(guó)鐵道科學(xué)研究院在“補(bǔ)天”平臺(tái)中開(kāi)始懸賞征集漏洞，截至發(fā)稿，一條漏洞的懸賞金額為1000元。

　　陳鐘評(píng)價(jià)，采取類(lèi)似的方式去發(fā)現(xiàn)弱點(diǎn)、補(bǔ)漏洞是可取的。12306網(wǎng)站還可以更多地與業(yè)界的專(zhuān)業(yè)人士、廠商合作，完善制度和系統(tǒng)，“關(guān)起門(mén)來(lái)自己做的方式還是需要改善，要適應(yīng)現(xiàn)在更開(kāi)放的互聯(lián)網(wǎng)的環(huán)境”。

　　此前，曾有法學(xué)學(xué)者在接受中國(guó)青年報(bào)采訪時(shí)表示，如果政府部門(mén)泄露的信息導(dǎo)致公民受到損失，可以申請(qǐng)國(guó)家賠償。