內地網站洩13萬用戶資訊 懸賞找漏洞仍未夠

最近網站12306.cn使用者資料洩露成為大眾關注焦點，12306其實是中國鐵路客戶服務中心的熱線，沿用多年，所以用電話作為網站Domain會是容易聯想到兩者是同一服務內容。這個網站由中國鐵道科學研究院主管，可以訂購中國全國火車班次，非常方便，但這次洩露事故令人質疑如此大型機構都會犯下這樣的問題。

懸賞找漏洞

繼2014年5月小米使用者資料庫洩漏，約800萬個涵蓋用戶名、密碼、短信、通訊錄等私密內容被公開；今次，12306網站中招，有內地媒體報導稱，大量12306網站使用者資訊遭洩露，已知公開傳播的資料庫涉及的使用者資料超過13萬條，鐵路警方迅速拘捕了疑犯。現在12306網站最高懸賞2000元，號召網友查找漏洞。

通過懸賞請安全專家和黑客技術高手出馬，尋找網站存在的安全性漏洞，旨在幫助企業發現並修復漏洞，在一定程度上有助提升安全防護水準。問題是，安全專業和民間高人能否早過那些專門竊取資料的不法分子？互聯網在使用者資料利用上，已形成一條規模巨大的地下黑色產業鏈，估計規模在百億元左右，且環環相扣，有人負責偷取，有人販賣倒賣，有人利用資料推銷詐騙，甚至直接在網上盜取他人錢財。為什麼網站總是在出事後才全力找漏洞，而黑客卻每日在找你的漏洞。

沒有絕對的安全

網站的安全是不可信任的，無論是國內的還是國外的，網站負責人只能儘量控制資訊的源頭。近年來，互聯網使用者資料庫洩露事件是越來越頻密、越來越嚴重倒是不假。

網站不可能不受黑客攻擊，尤其是一些擁有大量市民個人資料的大型網站，因此網站帳號安全顯得尤為重要。如果帳號安全措施做得足夠，黑客在嘗試攻擊時，網站就能及時發現並阻斷，不讓黑客容易得逞。洩露說明網站的安全漏洞被黑客利用。即使12306.cn不斷提醒旅客不要使用搶票軟件購票或委託協力廠商網站購票，這種提醒好像在說「錯不在我」似的，旅客為什麼使用搶票軟件，原因就是在正規網站搶不到票。

問責任在誰已經太遲

在與竊取用戶資訊、銀行帳戶、轉移虛擬財產的黑客鬥智鬥力的角力中，直接為大眾提供服務的網站無疑是網路安全的「第一責任人」，有責任進行全面的風險評估，提高用戶安全意識。堵住可能洩露的因素，遺憾是這些幾乎是國內網站的軟肋。

僅靠內部治理仍不足保障網路安全，外部治理必須抬高違法成本，對相關犯罪行為訂下阻嚇性的打擊。在法律實踐上，也存在一些明顯的漏洞，而業界也欠缺具執行效力的指引，令網站設計達到一定的安全標準。