新华报业网讯 12月26日,“12306铁路官网13万用户信息泄露”事件有了最新进展:铁路公安机关于2014年12月25日晚,将涉嫌窃取并泄露他人电子信息的犯罪嫌疑人抓获。嫌疑人蒋某某、施某某通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息,尝试登录其他网站进行“撞库”,非法获取用户的其他信息,并谋取非法利益。
“撞库在互联网上很常见,这次12306真的很无辜。”速途研究院院长丁道师认为“这是一场被高估的恐慌”。他解释,用户在登陆或注册网站时,经常会使用自己常用的账号和密码,一旦某个网站出现漏洞,被黑客攻击盗取账户密码后,其他网站的账号和密码也都会被获取,重要信息就会遭到泄露,继而开展售卖信息的不法牟利行为。
记者调查发现,由于网络和电话预定火车票比代售点和车站售票窗口都要早,通过网络预定已经成为购买火车票的主要渠道。据铁路部门提供的数据显示,7成以上车票都来自网络购票,网络购票取代寒风排队,更是成为春运的重大转变。互联网时代,讲究的是安全和体验。然而,网络购票在给人们带来方便的同时,安全问题却成了一根紧绷的弦。
“安全和方便永远是成反比的!要安全,就不要怕麻烦。”丁道师说,有些用户更懒,为了方便记住密码,直接使用123456这种明文密码,给了黑客可乘之机。他建议,为了信息安全,在登陆涉及金钱交易的网站(如淘宝、京东、12306等)时,用户应尽量避免使用常用的账户和密码进行注册。
难道12306网站真的无辜么?记者体验发现,在铁路12306官网上注册,然后添加联系人姓名、身份证号码等信息后,就可以直接通过网络购票、支付。中间的登陆和交易过程中,并无收到任何提醒和验证。也正因为操作简单、验证环节少,该网站一经上线,就屡被曝出存在多个泄密漏洞。
中国互联网协会信用评价中心法律顾问赵占领认为,有很多好的经验和措施值得12306借鉴,比如腾讯QQ,进行异地、异机登陆时,自动弹窗都会进行提醒,淘宝转账交易时,手机会收到验证提醒。“虽然此次泄密是‘撞库’所致,属于不可抗因素,但12306在安全管理方面应该负有一定的责任,说明其防范措施和验证措施都做的还不完美。另外,泄密发生后一段时间内,仍旧可以登陆进去,用户并没有收到任何提醒。”
赵占领提醒,目前我国对个人信息保护的立法刚刚起步。根据目前法律法规,只对“售卖用户真实身份信息”最高罚款3万,而对由于技术漏洞造成的个人用户信息泄露,既没有处罚机制,也没有补偿措施。即便个人权益真的遭到侵害,也会陷入举证难、维权难的窘境。 新华报业全媒体记者 吕妍 曹旭超
编辑: 莫小羽、王瑶
12306泄密事件嫌疑人被抓 "撞库"泄密,慎用抢票神器 -
南京21:34 26.12.2014 新华报业网