身陷數(shù)據(jù)泄露事件的12306網(wǎng)站,終于開始懸賞征集漏洞。
12月25日,這家被廣泛用于訂購火車票的官方網(wǎng)站,被指流出約13萬用戶數(shù)據(jù)。其中包括姓名、身份證號、手機號、用戶名、密碼等敏感信息。
盡管鐵路警方調(diào)查宣稱事件由黑客“撞庫”導(dǎo)致,數(shù)據(jù)并非從12306網(wǎng)站泄露,但12306網(wǎng)站的安全體系仍有完善的空間。
誰泄露,泄露了多少用戶數(shù)據(jù)?
誰泄露了用戶數(shù)據(jù)?泄露的數(shù)據(jù)總量有多少?在多位互聯(lián)網(wǎng)安全人士看來,綜合目前消息,極有可能是“撞庫”導(dǎo)致數(shù)據(jù)泄露,且泄露的數(shù)據(jù)可能不止13萬用戶。
“撞庫”是一種黑客攻擊方式。黑客會收集在網(wǎng)絡(luò)上已泄露的用戶名、密碼等信息,之后用技術(shù)手段前往一些網(wǎng)站逐個“試”著登錄,最終“撞大運”地“試”出一些可以登錄的用戶名、密碼。
顯然,“撞庫”成功的一個前提是,用戶在多家網(wǎng)站注冊的用戶名、密碼都相同。多位互聯(lián)網(wǎng)安全人士經(jīng)過分析,均認為此次事件“應(yīng)該是撞庫造成的”,“用戶名、密碼都沒改”。
第三方網(wǎng)絡(luò)安全機構(gòu)“知道創(chuàng)宇”技術(shù)副總裁余弦告訴中國青年報記者,公司研究團隊在幾家網(wǎng)站2012年、2013年泄露的用戶數(shù)據(jù)中抽取50個作為樣本,與此次13萬用戶數(shù)據(jù)進行比對,“匹配度有100%”。
“獵豹移動”安全專家李鐵軍也表示,他們將前幾年黑客圈流傳出的上億條泄露數(shù)據(jù)進行比對,“絕大部分都是和以往的庫是重合的”。
12月26日,中國鐵道總公司公開證實了這一點。公司官方微博稱,鐵路公安機關(guān)于12月25日晚將嫌疑人蔣某某、施某某成功抓獲,嫌疑人通過手機互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個網(wǎng)站泄漏的用戶名加密碼信息,嘗試登陸其他網(wǎng)站進行“撞庫”,非法獲取用戶的其他信息,并謀取非法利益。
不過,李鐵軍推測,如果用以往那么大的數(shù)據(jù)量去“撞”12306網(wǎng)站,從理論上來說,泄露的數(shù)據(jù)或許不止13萬條,“怎么著也是百萬級別的。可能這13萬用戶的數(shù)據(jù)只是在黑色產(chǎn)業(yè)鏈非法交易中的一部分樣本”。
“這次只是暴露了其中一部分的數(shù)據(jù)!北本┐髮W(xué)計算機科學(xué)技術(shù)系教授陳鐘認為,“如果沒有人揭露出來,公眾、媒體可能也不清楚現(xiàn)在這個問題”。
與“撞庫說”同時出現(xiàn)的,是對“搶票軟件泄露數(shù)據(jù)”的猜測。12月25日,在警方公布抓獲黑客之前,12306網(wǎng)站發(fā)表聲明稱數(shù)據(jù)系經(jīng)其他網(wǎng)站或渠道流出,并提醒旅客“不要使用第三方搶票軟件購票,或委托第三方網(wǎng)站購票”,以防止身份信息外泄。
然而,中國青年報記者在泄露的13萬用戶數(shù)據(jù)中隨機撥打了18人的電話,共10人接受采訪,他們均表示自己從未使用過第三方插件購票,有的甚至已將近一年未使用該賬號。
李鐵軍分析,一些搶票軟件有“離線搶票”的功能,存在一定風險或隱患。軟件在電腦關(guān)閉之后,依然可以進行搶票,這意味著用戶名、密碼都交給了第三方!斑@樣的情況下,就增加了風險,當然,不能說就一定是他們有問題”。
他稱,正常的搶票軟件會遵守12306的規(guī)則,但一些小公司甚至黃牛開發(fā)的搶票軟件“任何可能買到票的手段都會用到”,包括連接速度、破解驗證碼的速度。
他說,目前網(wǎng)上只公開了13萬條泄露數(shù)據(jù),除了撞庫,是否還有其他原因,有待繼續(xù)分析和警方調(diào)查。
陳鐘認為,搶票軟件能夠成功搶票,說明系統(tǒng)里一定有正常的、可以使用的交互過程,“這里面可能還有其他方面的博弈,或者說管理上的博弈”。
陳鐘強調(diào),要以事實為依據(jù),如果系統(tǒng)存在設(shè)計或管理缺陷,應(yīng)該加以解決。
12306可填補哪些漏洞?
此次事件之前,在國內(nèi)漏洞報告平臺“烏云網(wǎng)”,12306網(wǎng)站2011年以來被網(wǎng)友指出約60處漏洞。其中,“驗證碼”問題是屢受詬病的漏洞之一。
驗證碼是用戶登錄時的一道關(guān)卡,只有用戶名、密碼、驗證碼都正確才可正常登錄。如果驗證碼措施得當,即使黑客程序掌握了用戶名、密碼,“試”出其正確性的難度也大大增加。
余弦告訴中國青年報記者,在此次“撞庫”事件中,12306存在易被“撞庫”攻擊的接口,該接口沒做好安全防御,“原則上應(yīng)該做好防御,比如,限制一個IP對這個接口的請求頻率,超過一定頻率或次數(shù)就應(yīng)該采用驗證碼措施或屏蔽措施。”
知道創(chuàng)宇公司并非類似問題的唯一提出者。2014年1月,面對多位網(wǎng)友長期的漏洞提示,12306網(wǎng)站的廠商“中國鐵道科學(xué)研究院”在烏云網(wǎng)答復(fù)網(wǎng)友“debbbbie”時坦言,“關(guān)于驗證碼的事情大家已經(jīng)說得太多了,讓你們受累”。
而在2013年12月,廠商在烏云網(wǎng)答復(fù)《12306弱驗證碼可被輕松識別》時還稱,驗證碼搞復(fù)雜了,機器和用戶都不好認,為了用戶體驗,公司選擇簡單驗證碼。
陳鐘認為,高強度的安全措施肯定有高成本,一個系統(tǒng)應(yīng)該設(shè)計到什么程度,安全性、方便性要有一個平衡。他相信,隨著網(wǎng)絡(luò)應(yīng)用、安全風險的掌控逐漸深入,相應(yīng)的身份鑒別措施會加強,方便性也會得到保障。
“從目前來看,這個系統(tǒng)在認證方面所做的要求還是比較低的。相比銀行金融系統(tǒng),比如說使用優(yōu)盾或其他鑒別方式,它在辨別方面做得還是比較弱的!标愮娬f。
在李鐵軍看來,從網(wǎng)絡(luò)安全角度來說,12306賬號系統(tǒng)可以引入“手機驗證碼”的機制,僅僅是泄露了用戶名、密碼,也無法登錄這個系統(tǒng)。
“當用戶換了一臺機器,或者換了一個城市,IP地址發(fā)生了改變,這個時候,像其他安全公司的大數(shù)據(jù)支撐一樣,就應(yīng)該判斷出來這個用戶的賬號可能出現(xiàn)了安全隱患,這種情況下,登錄是不是要驗證用戶的手機呢?我覺得加一道關(guān)可能會好一些!彼忉。
李鐵軍還發(fā)現(xiàn),只要登錄12306網(wǎng)站,就可以看到常用聯(lián)系人的身份證、手機號等信息,“這方面是不是可以考慮做一個隱藏、技術(shù)處理?當這些用戶需要修改的時候,才能看到它。第二重驗證的時候才可以看到完整的信息,而不是一登錄進去就能看到”。
陳鐘說,對于用戶個人,不要設(shè)置簡單、長期不變的密碼。不管系統(tǒng)提供了多強大的認證,這都是用戶個人的基本安全措施。
為何公共部門多次發(fā)生信息泄露事件?
在此次事件公開之前,國內(nèi)“補天”漏洞響應(yīng)平臺也發(fā)布了多起信息泄露事件。盡管有關(guān)廠商對此已經(jīng)確認,但媒體鮮有報道。中國青年報記者發(fā)現(xiàn),其中多起事件與政府部門有關(guān)。
泄露數(shù)據(jù)量最大的是“全杭州市2003年至今所有近90萬名新生嬰兒及近180萬名父母敏感信息”,包括姓名、年齡、身份證、家庭住址等。12月24日漏洞被網(wǎng)友提交當天,浙江省衛(wèi)生和計劃生育委員會就確認了該漏洞。
此外,浙江省衛(wèi)計委的12萬名兒童及家長信息、南京車管所某系統(tǒng)的46萬名學(xué)員信息等數(shù)據(jù),也被網(wǎng)友作為漏洞提交,并得到當事廠商確認。
一系列信息泄露事件引起一些網(wǎng)友的猜想。多位人士告訴中國青年報記者,他們在網(wǎng)上報名國家、地方各類考試后,也經(jīng)常收到推銷所謂內(nèi)部答案的垃圾短信。
公開報道中,組織部門對考生收到答案的答復(fù)通常是,官方?jīng)]有泄露考生信息,請考生注意保護個人信息安全。
李鐵軍認為,目前,國內(nèi)各行各業(yè)都希望把自身業(yè)務(wù)通過互聯(lián)網(wǎng)技術(shù)加以改造,在此過程中,可能由于缺少安全方面的專業(yè)人才,便只提供了互聯(lián)網(wǎng)服務(wù),在數(shù)據(jù)保護和信息加密方面相對比較弱。
“我們現(xiàn)在看到的一些情況就是,普通網(wǎng)民的信息通過各種渠道被泄露出去的概率是非常高的。政府機關(guān)、學(xué)校,還有其他一些非互聯(lián)網(wǎng)企業(yè),剛剛開始把它的業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)型來做的時候,可能安全不是他們首先要考慮的事情,所以這就給一些入侵者造成了機會!崩铊F軍分析。
陳鐘告訴記者,現(xiàn)在,醫(yī)院、學(xué)校等政府部門、事業(yè)單位的一些系統(tǒng)大多是委托專業(yè)公司開發(fā)的,很難將“水平低”作為信息泄露的借口,“可能過去由于技術(shù)的缺陷,或是對這個不重視,會暴露一些問題。這在以前的信息泄露事件中也曾反映出來”。
陳鐘說,我們國家現(xiàn)在實行信息等級保護制度,核心的部分在防控,不同等級有不同的要求,這個體系還是完善的,但要看具體的執(zhí)行和管理,“這方面要加強整合和監(jiān)督,特別是發(fā)生了問題要及時亡羊補牢”。
李鐵軍同樣認為,管理機關(guān)要重視個人信息的保護,提供這些服務(wù)的開發(fā)者則應(yīng)該多考慮安全方面的設(shè)計,因為個人信息泄露最終的受害者是網(wǎng)民,存儲個人信息的單位基本上沒有什么損失。
12306網(wǎng)站已走出了亡羊補牢的一步。12月27日,中國鐵道科學(xué)研究院在“補天”平臺中開始懸賞征集漏洞,截至發(fā)稿,一條漏洞的懸賞金額為1000元。
陳鐘評價,采取類似的方式去發(fā)現(xiàn)弱點、補漏洞是可取的。12306網(wǎng)站還可以更多地與業(yè)界的專業(yè)人士、廠商合作,完善制度和系統(tǒng),“關(guān)起門來自己做的方式還是需要改善,要適應(yīng)現(xiàn)在更開放的互聯(lián)網(wǎng)的環(huán)境”。
此前,曾有法學(xué)學(xué)者在接受中國青年報采訪時表示,如果政府部門泄露的信息導(dǎo)致公民受到損失,可以申請國家賠償。