admin
资料图 图片来源:视觉中国
据《北京新闻》报道,12月28日上午,一些人声称12306平台的乘客信息泄露,以低价出售60万账户信息和410万联系人数据,并免费披露一些账户供买家验证。记者随机验证了几个号码,并成功登录。对此,12306官方客服表示,平台上没有用户信息泄露,网上销售信息在乘客登录第三方平台时泄露。微信公众号发布了“发现暗网兜售12306账号”信息,删除文章后发布了“道歉声明”,称目前销售渠道不存在。
网上有人公开出售12306旅客信息。 图片来源:新京报
事实上,早在2014年12月25日,关于12306的漏洞报告就出现在漏洞报告平台乌云网上,危害等级显示为“高”,漏洞类型为“大量用户数据泄露”。
当时各方的反应都是一样的,比如12306说“是通过其他网站或渠道流出的。而且很多第三方也纷纷切断,比如百度回应说“百度卫士抢票宝本身就是一款安全软件……不会有泄露问题”;携程回应说,“这件事与携程无关”;360回应说,“360浏览器抢票软件拥有业内最严格的安全防护机制,从未发生过数据泄露”。
幸运的是,在2014年泄露的当晚,铁路公安部门逮捕了涉嫌盗窃和泄露信息的嫌疑人。后来发现,犯罪嫌疑人试图登录其他网站,通过收集游戏网站和其他多个网站泄露的用户名加密码信息来获取用户信息。也就是说,那些在多个平台上使用相同账户和密码的用户基本上是“暴露”的。
巧合的是,这两起事件都发生在春节旅游高峰即将到来和春节旅游高峰抢票的早期阶段。个人信息的泄露无异于给准备回家过年的人们增添了更多的焦虑和阴影。
无论如何,如此重大的泄露事故暴露了个人信息安全障碍的脆弱性。这一次,12306用户信息被出售,不知道是之前泄露的数据再次出售,还是出现了新的信息泄露。显然有必要根据现有的线索,抓住卖个人信息的人。
中铁总公司回应了网上传播的“12306数据疑似泄露”。 图片来源:中铁官方微博
但也要看出,责任方不仅仅是几个直接窃取信息的犯罪嫌疑人。例如,在2014年的泄露事件中,第一个泄露用户信息的游戏网站和其他网站显然不合格,需要承担相应的责任,纠正和改进自己的平台。正如信息安全专家所说,“只有当其账户安全系统也存在缺陷时,黑客才会尝试使用自动化程序登录碰撞库。“当被大规模“撞击”时,相关网站显然应该有更敏感的“压力反应”,提前预测可能的撞击盗窃风险,以便及时打开预警预防功能,并尽可能护送用户的个人信息安全。
因此,无论是12306还是其他一些抢票软件,都不能高高挂起,因为它们不是泄露的来源。至少要有“魔高一尺高一尺”的技术信心和野心,不断查漏补缺,为用户搭建更安全、更高效的服务平台。俗话说,苍蝇不叮无缝蛋,提高“防撞”能力,也是改进的方向。
几乎每次互联网平台的用户信息泄露,平台都会提醒用户及时更改密码,甚至提倡用户使用不同的账户和密码。但如今,互联网已经深入到大众生活的各个方面。指望用户使用不同的账户和密码的平台账户太多是不现实的。
从更大的模式来看,如果我们的反应只能是“让用户更改密码”,这实际上是将平台的责任转移给用户,是让最脆弱的环节承担最终的狙击手,如何有一种无力和悲剧的感觉。
12306账户被兜售,无疑再次给个人信息安全敲响了警钟。现在是信息爆炸的时代,也是“信息就是资本,数据就是财富”的时代。个人信息安全从未如此突出和紧迫。技术暴露的问题最终必须得到解决。我们希望企业和管理部门能够承担责任,让用户更加放心。尤其是年底,快乐回家过年的前提终究足够放心舒适。
□范成(媒体人)
编辑 孟然 杨林鑫 校对 王心
