那曲信息港
网络
当前位置:首页 > 网络

三问12306站用户数据泄露事件那些漏洞

发布时间:2019-05-22 04:01:47 编辑:笔名

三问12306站用户数据泄露事件:那些漏洞待填补

身陷数据泄露事件的12306站,终于开始悬赏征集漏洞。12月25日,这家被广泛用于订购火车票的官方站,被指流出约13万用户数据。其中包括姓名、身份证号、号、用户名、密码等敏感信息。尽管铁路警方调查宣称事件由黑客“撞库”导致,数据并非从12306站泄露,但12306站的安全体系仍有完善的空间。谁泄露,泄露了多少用户数据?谁泄露了用户数据?泄露的数据总量有多少?在多位互联安全人士看来,综合目前消息,极有可能是“撞库”导致数据泄露,且泄露的数据可能不止13万用户。“撞库”是一种黑客攻击方式。黑客会收集在络上已泄露的用户名、密码等信息,之后用技术手段前往一些站逐个“试”着登录,终“撞大运”地“试”出一些可以登录的用户名、密码。显然,“撞库”成功的一个前提是,用户在多家站注册的用户名、密码都相同。多位互联安全人士经过分析,均认为此次事件“应该是撞库造成的”,“用户名、密码都没改”。第三方络安全机构“知道创宇”技术副总裁余弦告诉中国青年报,公司研究团队在几家站2012年、2013年泄露的用户数据中抽取50个作为样本,与此次13万用户数据进行比对,“匹配度有100%”。“猎豹移动”安全专家李铁军也表示,他们将前几年黑客圈流传出的上亿条泄露数据进行比对,“绝大部分都是和以往的库是重合的”。12月26日,中国铁道总公司公开证实了这一点。公司官方微博称,铁路公安机关于12月25日晚将嫌疑人蒋某某、施某某成功抓获,嫌疑人通过互联某游戏站以及其他多个站泄漏的用户名加密码信息,尝试登陆其他站进行“撞库”,非法获取用户的其他信息,并谋取非法利益。不过,李铁军推测,如果用以往那么大的数据量去“撞”12306站,从理论上来说,泄露的数据或许不止13万条,“怎么着也是百万级别的。可能这13万用户的数据只是在黑色产业链非法交易中的一部分样本”。“这次只是暴露了其中一部分的数据。”北京大学计算机科学技术系教授陈钟认为,“如果没有人揭露出来,公众、媒体可能也不清楚现在这个问题”。与“撞库说”同时出现的,是对“抢票软件泄露数据”的猜测。12月25日,在警方公布抓获黑客之前,12306站发表声明称数据系经其他站或渠道流出,并提醒旅客“不要使用第三方抢票软件购票,或委托第三方站购票”,以防止身份信息外泄。然而,中国青年报在泄露的13万用户数据中随机拨打了18人的,共10人接受采访,他们均表示自己从未使用过第三方插件购票,有的甚至已将近一年未使用该账号。李铁军分析,一些抢票软件有“离线抢票”的功能,存在一定风险或隐患。软件在电脑关闭之后,依然可以进行抢票,这意味着用户名、密码都交给了第三方。“这样的情况下,就增加了风险,当然,不能说就一定是他们有问题”。他称,正常的抢票软件会遵守12306的规则,但一些小公司甚至黄牛开发的抢票软件“任何可能买到票的手段都会用到”,包括连接速度、破解验证码的速度。他说,目前上只公开了13万条泄露数据,除了撞库,是否还有其他原因,有待继续分析和警方调查。陈钟认为,抢票软件能够成功抢票,说明系统里一定有正常的、可以使用的交互过程,“这里面可能还有其他方面的博弈,或者说管理上的博弈”。陈钟强调,要以事实为依据,如果系统存在设计或管理缺陷,应该加以解决。12306可填补那些漏洞?此次事件之前,在国内漏洞报告平台“乌云”,12306站2011年以来被友指出约60处漏洞。其中,“验证码”问题是屡受诟病的漏洞之一。验证码是用户登录时的一道关卡,只有用户名、密码、验证码都正确才可正常登录。如果验证码措施得当,即使黑客程序掌握了用户名、密码,“试”出其正确性的难度也大大增加。余弦告诉中国青年报,在此次“撞库”事件中,12306存在易被“撞库”攻击的接口,该接口没做好安全防御,“原则上应该做好防御,比如,限制一个IP对这个接口的请求频率,超过一定频率或次数就应该采用验证码措施或屏蔽措施。”知道创宇公司并非类似问题的提出者。2014年1月,面对多位友长期的漏洞提示,12306站的厂商“中国铁道科学研究院”在乌云答复友“debbbbie”时坦言,“关于验证码的事情大家已经说得太多了,让你们受累”。而在2013年12月,厂商在乌云答复《12306弱验证码可被轻松识别》时还称,验证码搞复杂了,机器和用户都不好认,为了用户体验,公司选择简单验证码。陈钟认为,高强度的安全措施肯定有高成本,一个系统应该设计到什么程度,安全性、方便性要有一个平衡。他相信,随着络应用、安全风险的掌控逐渐深入,相应的身份鉴别措施会加强,方便性也会得到保障。“从目前来看,这个系统在认证方面所做的要求还是比较低的。相比银行金融系统,比如说使用优盾或其他鉴别方式,它在辨别方面做得还是比较弱的。”陈钟说。在李铁军看来,从络安全角度来说,12306账号系统可以引入“验证码”的机制,仅仅是泄露了用户名、密码,也无法登录这个系统。“当用户换了一台机器,或者换了一个城市,IP地址发生了改变,这个时候,像其他安全公司的大数据支撑一样,就应该判断出来这个用户的账号可能出现了安全隐患,这种情况下,登录是不是要验证用户的呢?我觉得加一道关可能会好一些。”他解释。李铁军还发现,只要登录12306站,就可以看到常用联系人的身份证、号等信息,“这方面是不是可以考虑做一个隐藏、技术处理?当这些用户需要修改的时候,才能看到它。第二重验证的时候才可以看到完整的信息,而不是一登录进去就能看到”。陈钟说,对于用户个人,不要设置简单、长期不变的密码。不管系统提供了多强大的认证,这都是用户个人的基本安全措施。为何公共部门多次发生信息泄露事件?在此次事件公开之前,国内“补天”漏洞响应平台也发布了多起信息泄露事件。尽管有关厂商对此已经确认,但媒体鲜有报道。中国青年报发现,其中多起事件与政府部门有关。泄露数据量的是“全杭州市2003年至今所有近90万名新生婴儿及近180万名父母敏感信息”,包括姓名、年龄、身份证、家庭住址等。12月24日漏洞被友提交当天,浙江省卫生和计划生育委员会就确认了该漏洞。此外,浙江省卫计委的12万名儿童及家长信息、南京车管所某系统的46万名学员信息等数据,也被友作为漏洞提交,并得到当事厂商确认。一系列信息泄露事件引起一些友的猜想。多位人士告诉中国青年报,他们在上报名国家、地方各类考试后,也经常收到推销所谓内部答案的垃圾短信。公开报道中,组织部门对考生收到答案的答复通常是,官方没有泄露考生信息,请考生注意保护个人信息安全。李铁军认为,目前,国内各行各业都希望把自身业务通过互联技术加以改造,在此过程中,可能由于缺少安全方面的专业人才,便只提供了互联服务,在数据保护和信息加密方面相对比较弱。“我们现在看到的一些情况就是,普通民的信息通过各种渠道被泄露出去的概率是非常高的。政府机关、学校,还有其他一些非互联企业,刚刚开始把它的业务向互联转型来做的时候,可能安全不是他们首先要考虑的事情,所以这就给一些入侵者造成了机会。”李铁军分析。陈钟告诉,现在,医院、学校等政府部门、事业单位的一些系统大多是委托专业公司开发的,很难将“水平低”作为信息泄露的借口,“可能过去由于技术的缺陷,或是对这个不重视,会暴露一些问题。这在以前的信息泄露事件中也曾反映出来”。陈钟说,我们国家现在实行信息等级保护制度,核心的部分在防控,不同等级有不同的要求,这个体系还是完善的,但要看具体的执行和管理,“这方面要加强整合和监督,特别是发生了问题要及时亡羊补牢”。李铁军同样认为,管理机关要重视个人信息的保护,提供这些服务的开发者则应该多考虑安全方面的设计,因为个人信息泄露终的受害者是民,存储个人信息的单位基本上没有什么损失。12306站已走出了亡羊补牢的一步。12月27日,中国铁道科学研究院在“补天”平台中开始悬赏征集漏洞,截至发稿,一条漏洞的悬赏金额为1000元。陈钟评价,采取类似的方式去发现弱点、补漏洞是可取的。12306站还可以更多地与业界的专业人士、厂商合作,完善制度和系统,“关起门来自己做的方式还是需要改善,要适应现在更开放的互联的环境”。此前,曾有法学学者在接受中国青年报采访时表示,如果政府部门泄露的信息导致公民受到损失,可以申请国家赔偿。(张小鱼对本文亦有贡献)(本报 卢义杰 实习生 王海萍 钟咏峰)

图海宁皮衣冬季款式的图片展示教你如何搭配皮衣显示风格
高中生大学生交换身份上演“变形记”
如何注意学校安全事故预防校园安全事故预防有什么方法