这不是 12306 网站第一次发生用户信息泄露事件了,但是最大的一次。12306 官方网站当日公告称,经认真核查,此泄露信息全部含有用户的明文密码。12306 网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。
12 月 25 日上午 10:59,乌云网发布漏洞报告称,大量 12306 用户数据在网络上疯狂传播。
而此时,正是春运购票的关键时刻,12306 网站每天的访问量都很惊人。
乌云网创始人邬迪告诉 21 世纪经济报道记者,“这是乌云网历史上,第一次如此大规模的铁路用户数据泄露。”
据了解,本次泄露事件被泄露的数据达 131653 条,包括用户账号、明文密码、身份证和邮箱等多种信息。
乌云网是一家专注于互联网安全漏洞报告的平台。邬迪介绍称,乌云网每天都会对各项数据进行监测,12306 事件只是今天的一项内容。但此前,他们也曾报告过 12306 网站泄露用户信息的情况。
对这次用户信息泄露事件,网络议论热烈。有网友担心,这些泄露的信息是否包含购票过程使用的银行卡等信息等。专业人士建议,如果用户在其他网站也使用了 12306 网站同样的用户名和密码,应当修改密码。
多位接受 21 世纪经济报道记者采访的安全专家对此事件分析认为,这次很可能是黑客“撞库”行为造成的,而非 12306 网站直接泄露,但同样说明 12306 网站仍存在安全漏洞。不过,也有一些专家认为事件原因仍不明。
对于此事件的影响,中国政法大学传播法研究中心研究员朱巍分析称,如果 12306 是出于过失导致信息泄露,司法实践中会采用过错推定原则确定侵权责任,“即先推定 12306 存在过错,然后由 12306 举证,证明自己尽到了安保责任”,朱巍说。
泄露原因何在?
乌云网创始人邬迪告诉 21 世纪经济报道记者,12 月 25 日上午 10:59,在事件发生后,乌云网立刻进行了核查,在确认该消息的真实可靠性后对此事进行了发布。
不久后 12306 就在第一时间知道了此消息,并与乌云网取得联系,表示会认真调查此事,并在日后发布公告。
下午 14:15,乌云网通过新浪微博发布了消息称,数据疑似黑客撞库后整理得到,而并非 12306 直接泄漏,请用户及时修改密码同时慎用抢票工具。
邬迪也对 21 世纪经济报道记者称,所谓“撞库”就是黑客通过收集网络上已泄露的用户名及密码信息,生成对应的“字典表”,到其他网站尝试批量登录,得到一批可以登录的用户账号及密码。
登录用户的后台后,可能存在邮箱、手机号码、身份证号码被泄露、账务积分和账户余额流失等多种风险。
“如果用户及时修改原始密码就可以规避撞库风险。”邬迪说,“但这并不等于自己的信息就完全安全了。”
邬迪告诉记者,除了撞库,还有另一种方式叫做拖库。黑客通过技术直接下载某平台的全部数据库。“但本次 12306 泄露可以排除拖库的可能性。”
在业内人士看来,“拖库”是指入侵有价值的网络站点,把数据库全部盗走的行为。盗取数据后,黑客会通过一系列的技术手段清洗数据,并在黑市上将有价值的用户数据变现交易,此为“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”。
浪潮电子信息安全事业部副总经理蔡一兵对 21 世纪经济报道记者称,“在互联网的黑市里有一个非常成熟的产业链,有一个非常成熟的形成利益过程:拖库、洗库和撞库。”
针对此次泄露事件的原因,360 互联网安全中心的安全研究人员非常肯定地以书面方式回答 21 世纪经济报道经济的采访函时表示,“此次 12306 网站信息泄露是被黑客撞库造成的。”
其理由是,经过他们安全研究人员的调查发现,第一、几乎所有 13 万条 12306 账号密码,都可以在此前多家游戏网站泄露的密码库中匹配到相应的记录。说明黑客用多家游戏网站的密码库对 12306 发动“撞库”攻击,筛选出 13 万余条使用相同账号密码的用户数据。第二,通过对 12306 泄露数据中的相关用户进行抽样调查,超过半数没有使用任何抢票软件,其余则是使用不同的抢票软件。
在今天的泄露事件发生后,网上曾流传称,有 18G 的完整 12306 数据库被泄露,但是目前并没有人在网上找到过这个数据库。
泄露事件发生后,12306 发布公告称网上泄露的用户信息系经其他网站或渠道流出,原因是 12306 网站使用的是多次加密的密码,而泄露的是明文密码。分析人士称,这也从另一个侧面说明,这些密码可能不是从 12306 网站泄露出去的。
据乌云官网发布的消息称,漏洞已交由第三方厂商国家互联网应急中心处理。12 月 25 日,国家互联网应急中心人士对 21 世纪经济报道记者表示:“事件正在调查当中,结果以官网发布为准。”
一位网络安全研究人员对 21 世纪经济报道记者称,12306 网站第一时间知道这个事情的,并发布了公告,但是几个小时过去了,那些用户名和密码还可以登录,并可能被用于更改他人密码、找到他人的电话号码,甚至帮人家退票,“他们为什么不紧急通过技术手段,短信通知用户,将泄露的用户密码强制更改或提醒客户更改?”
为什么会有这么大的漏洞?
不过,邬迪称,“此事目前还无法下定论。”
在 12306 网站在发布上述提示公告时,还特别提醒旅客不要使用第三方抢票软件购票。这使得外界怀疑,此次泄露事件由第三方抢票软件而起。
一位长期研究刷票软件的人员告诉 21 世纪经济报道,目前抢票软件发展速度极快,但并不存在十分清晰的盈利模式,因此从第三方软件中泄露数据的可能性也依然存在。
一位从事软件程序开发的技术人员告诉 21 世纪经济报道记者,这类抢票软件的技术要求一般不高,如果第三方没有严格的保护措施,用户信息就存在不安全的隐患。
对于此,360 公司相关人员书面回应称,360 抢票王基于 360 安全浏览器,360 安全浏览器的上网安全技术和措施都可以保障抢票王的安全。他们认为,此次 12306 数据泄露事件与抢票软件无关。
互联网安全专家更关心的是,如果真是撞库造成的泄露,12306 网站为什么会留下这么大的漏洞?
“如果这次撞库发生在 Google、微软身上,不可能成功。因为成熟的网站都会在登陆服务器时设置二次验证程序。国内很多网站为了节省成本,并没有设置这一道程序。” 猎豹移动安全专家李铁军对 21 世纪经济报道说。但是,目前并不清楚,此次漏洞是否与验证程序设置有关。
据一位对乌云网比较了解的专业人士称,12306 网站从 2012 年 2 月开始,在乌云网上被披露的漏洞接近 50 个,其中涉及用户资料泄漏和敏感信息泄露的漏洞占7%,而还有 44% 的漏洞可间接导致信息泄漏,例如命令执行漏洞和 SQL 注射漏洞。
而这些被监测到的漏洞都持续了很长时间。这位专业人士称,他们也不明白为什么这些漏洞一直没有被补救。
360 安全专家安扬也认为,12306 网站被撞库,说明 12306 账号安全体系仍需要进一步完善,尽可能及时发现并阻断黑客撞库攻击。
据 21 世纪经济报道此前的报道, 12306 网站由铁科院开发,铁科院是原铁道部下属的单位。
一位从事高铁安全行业的人士对 21 世纪经济报道记者称,其实早在之前,铁科院内部已经发现这一问题,但至今尚未完全解决,直到如今东窗事发。
黑色产业链
安扬对 21 世纪经济报道记者介绍,目前在互联网上公开流传的用户数据很多,仅 2012 年 CSDN、天涯的泄露数据就超过 2 亿条,今年还出现了携程、如家、当当的泄露事件。
另据知道创宇旗下的网络空间搜索引擎 ZoomEye 统计,中国目前至少有 13000 台服务器存在破壳漏洞,全球大概有 140000 台主机存在风险。
知道创宇技术副总裁钟晨鸣称,最近三四年,国内持续泄露的互联网数据,国内总量级达到 50 亿条用户账户信息。 知道创宇是全球知名的互联网安全公司,其创始团队在互联网安全领域服务了十多年,不久前还承担了 APEC 期间新闻平台网络安全工作。
此外,腾讯手机管家安全专家陆兆华对 21 世纪经济报道记者表示,在互联网黑色产业链内部,成员还存在数据库共享的机制,非常容易就获取到不同平台被成功拖库的信息,而用户的敏感信息比如身份证信息、电话号码、常用密码都是相对不变的,一旦泄漏就会给用户造成持续的影响。
在此事件的发生上一周,由国家信息安全漏洞共享平台发布的信息安全漏洞周报显示,2014 年 12 月 15 日至 2014 年 12 月 21 日,国家信息安全漏洞共享平台(以下简称 CNVD)本周共收集、整理信息安全漏洞 144 个。上述漏洞中,可利用来实施远程攻击的漏洞有 128 个。截至报告发布时间,已有 119 个漏洞由厂商提供了修补方案。
猎豹移动安全专家李铁军指出,中国的互联网化进程非常快,很多传统行业,比如政府、医疗、航空、保险等等,都采用信息化开发业务。但是,这些企业的安全意识转变并没有跟上,企业的安全管理、安全人才储备不足,很容易被攻击,造成信息泄露。“所以,有的客户刚刚订了机票,就收到机票相关的诈骗电话、短信。”
北京银库副总裁杜占源对 21 世纪经济报道记者表示,对于绝大多数的数据泄露来讲是因为网站自身存在安全漏洞引起的。目前很多非金融类的网站也进行实名制,但这些网站未必采取了很好的安全措施,一旦这类网站存在漏洞,用户身份证的关键信息必然泄露。
据央行制定的《银行卡收单业务管理办法》规定,“收单单位不得以任何形式储存银行卡的敏感信息”,但一些网站往往突破此规定。在携程网“漏洞门”事件中,携程网坚持没有过度搜集用户信息,其理由是:“未扣款成功的 CVV 码信息会被暂存 7 天,目的是协助用户便捷支付。”
12306 泄露事件发生至今,尚未暴出泄露的个人信息中包括用户购票的银行卡信息。
泄露事件同样引起了对网络实名制的讨论。“韩国网络实名制半途而废的原因,就是无法解决大规模个人信息泄露问题”,中国政法大学传播法研究中心研究员朱巍说。他建议,我国网络实名制实行过程中,可以考虑规定商业网站无权保管个人核心信息,转由安保等级更高的公安部平台管理。
侵权责任如何划分?
2012 年 12 月 28 日,全国人大常委会通过《关于加强网络信息保护的决定》后,网络个人信息保护有了法律依据。今年 3 月 15 日施行的新《消费者权益保护法》也增加了保护消费者个人信息的规定。
最新的司法依据是 10 月 9 日,最高法院公布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,其中首次列举了个人隐私的范围。
“泄露个人信息者一定要承担相应的侵权责任,问题是谁来承担”,朱巍告诉记者。
“如果是 12306 泄露,要区分为故意泄露还是过失泄露,故意泄露毫无疑问要承担侵权责任”,朱巍说,“在国外,故意泄露还可以区分为出于商业目的还是非商业目的,如果是商业目的要加大处分力度,但国内司法没有这样的区分”。
如果 12306 是出于过失导致信息泄露,司法实践中会采用过错推定原则确定侵权责任,“即先推定 12306 存在过错,然后由 12306 举证,证明自己尽到了安保责任”,朱巍说。
朱巍认为,如果存在 12306 作为开放平台,通过开放端口与第三方平台进行授权合作的情况,即使信息是经第三方泄露,12306 也应承担连带责任。
“这几乎是整个互联网产业的‘通病’,比如用户注册了一家互联网服务,结果发现自己的信息被授权给了这家网站的合作方”,朱巍说。
他认为,哪怕用户在注册互联网服务时,对方已经提醒其个人信息可以授权转让给合作方,这也不能成为用户信息泄露时其免责的理由,“因为这是格式合同,用户如果拒绝就不能完成注册”,朱巍说。
只不过,承担连带责任的网站,可以按照和第三方网站的内部责任划分约定,向直接泄露信息的第三方追偿。
“最后一种情况是 12306 根本不知情,信息泄露源于不可抗力,但 12306 也要证明自己尽到了安保义务”,朱巍说。