最近網站12306.cn使用者資料洩露成為大眾關注焦點,12306其實是中國鐵路客戶服務中心的熱線,沿用多年,所以用電話作為網站Domain會是容易聯想到兩者是同一服務內容。這個網站由中國鐵道科學研究院主管,可以訂購中國全國火車班次,非常方便,但這次洩露事故令人質疑如此大型機構都會犯下這樣的問題。
懸賞找漏洞
繼2014年5月小米使用者資料庫洩漏,約800萬個涵蓋用戶名、密碼、短信、通訊錄等私密內容被公開;今次,12306網站中招,有內地媒體報導稱,大量12306網站使用者資訊遭洩露,已知公開傳播的資料庫涉及的使用者資料超過13萬條,鐵路警方迅速拘捕了疑犯。現在12306網站最高懸賞2000元,號召網友查找漏洞。
通過懸賞請安全專家和黑客技術高手出馬,尋找網站存在的安全性漏洞,旨在幫助企業發現並修復漏洞,在一定程度上有助提升安全防護水準。問題是,安全專業和民間高人能否早過那些專門竊取資料的不法分子?互聯網在使用者資料利用上,已形成一條規模巨大的地下黑色產業鏈,估計規模在百億元左右,且環環相扣,有人負責偷取,有人販賣倒賣,有人利用資料推銷詐騙,甚至直接在網上盜取他人錢財。為什麼網站總是在出事後才全力找漏洞,而黑客卻每日在找你的漏洞。
沒有絕對的安全
網站的安全是不可信任的,無論是國內的還是國外的,網站負責人只能儘量控制資訊的源頭。近年來,互聯網使用者資料庫洩露事件是越來越頻密、越來越嚴重倒是不假。
網站不可能不受黑客攻擊,尤其是一些擁有大量市民個人資料的大型網站,因此網站帳號安全顯得尤為重要。如果帳號安全措施做得足夠,黑客在嘗試攻擊時,網站就能及時發現並阻斷,不讓黑客容易得逞。洩露說明網站的安全漏洞被黑客利用。即使12306.cn不斷提醒旅客不要使用搶票軟件購票或委託協力廠商網站購票,這種提醒好像在說「錯不在我」似的,旅客為什麼使用搶票軟件,原因就是在正規網站搶不到票。
問責任在誰已經太遲
在與竊取用戶資訊、銀行帳戶、轉移虛擬財產的黑客鬥智鬥力的角力中,直接為大眾提供服務的網站無疑是網路安全的「第一責任人」,有責任進行全面的風險評估,提高用戶安全意識。堵住可能洩露的因素,遺憾是這些幾乎是國內網站的軟肋。
僅靠內部治理仍不足保障網路安全,外部治理必須抬高違法成本,對相關犯罪行為訂下阻嚇性的打擊。在法律實踐上,也存在一些明顯的漏洞,而業界也欠缺具執行效力的指引,令網站設計達到一定的安全標準。
內地網站洩13萬用戶資訊 懸賞找漏洞仍未夠
https://www.facebook.com/hkitblog