身陷數據洩露事件的12306網站,終於開始懸賞徵集漏洞。
12月25日,這家被廣泛用於訂購火車票的官方網站,被指流出約13萬用戶數據。其中包括姓名、身份證號、手機號、用戶名、密碼等敏感資訊。
儘管鐵路警方調查宣稱事件由駭客“撞庫”導致,數據並非從12306網站洩露,但12306網站的安全體系仍有完善的空間。
誰洩露,洩露了多少用戶數據?
誰洩露了用戶數據?洩露的數據總量有多少?在多位網際網路安全人士看來,綜合目前消息,極有可能是“撞庫”導致數據洩露,且洩露的數據可能不止13萬用戶。
“撞庫”是一種駭客攻擊方式。駭客會收集在網路上已洩露的用戶名、密碼等資訊,之後用技術手段前往一些網站逐個“試”著登錄,最終“撞大運”地“試”出一些可以登錄的用戶名、密碼。
顯然,“撞庫”成功的一個前提是,用戶在多家網站註冊的用戶名、密碼都相同。多位網際網路安全人士經過分析,均認為此次事件“應該是撞庫造成的”,“用戶名、密碼都沒改”。
第三方網路安全機構“知道創宇”技術副總裁余弦告訴中國青年報記者,公司研究團隊在幾家網站2012年、2013年洩露的用戶數據中抽取50個作為樣本,與此次13萬用戶數據進行比對,“匹配度有100%”。
“獵豹移動”安全專家李鐵軍也表示,他們將前幾年駭客圈流傳出的上億條洩露數據進行比對,“絕大部分都是和以往的庫是重合的”。
12月26日,中國鐵道總公司公開證實了這一點。公司官方微博稱,鐵路公安機關於12月25日晚將嫌疑人蔣某某、施某某成功抓獲,嫌疑人通過手機網際網路某遊戲網站以及其他多個網站泄漏的用戶名加密碼資訊,嘗試登陸其他網站進行“撞庫”,非法獲取用戶的其他資訊,並謀取非法利益。
不過,李鐵軍推測,如果用以往那麼大的數據量去“撞”12306網站,從理論上來説,洩露的數據或許不止13萬條,“怎麼著也是百萬級別的。可能這13萬用戶的數據只是在黑色産業鏈非法交易中的一部分樣本”。
“這次只是暴露了其中一部分的數據。”北京大學電腦科學技術係教授陳鐘認為,“如果沒有人揭露出來,公眾、媒體可能也不清楚現在這個問題”。
與“撞庫説”同時出現的,是對“搶票軟體洩露數據”的猜測。12月25日,在警方公佈抓獲駭客之前,12306網站發表聲明稱數據係經其他網站或渠道流出,並提醒旅客“不要使用第三方搶票軟體購票,或委託第三方網站購票”,以防止身份資訊外泄。
然而,中國青年報記者在洩露的13萬用戶數據中隨機撥打了18人的電話,共10人接受採訪,他們均表示自己從未使用過第三方插件購票,有的甚至已將近一年未使用該賬號。
李鐵軍分析,一些搶票軟體有“離線搶票”的功能,存在一定風險或隱患。軟體在電腦關閉之後,依然可以進行搶票,這意味著用戶名、密碼都交給了第三方。“這樣的情況下,就增加了風險,當然,不能説就一定是他們有問題”。
他稱,正常的搶票軟體會遵守12306的規則,但一些小公司甚至黃牛開發的搶票軟體“任何可能買到票的手段都會用到”,包括連接速度、破解驗證碼的速度。
他説,目前網上只公開了13萬條洩露數據,除了撞庫,是否還有其他原因,有待繼續分析和警方調查。
陳鐘認為,搶票軟體能夠成功搶票,説明系統裏一定有正常的、可以使用的交互過程,“這裡面可能還有其他方面的博弈,或者説管理上的博弈”。
陳鐘強調,要以事實為依據,如果系統存在設計或管理缺陷,應該加以解決。
[責任編輯: 宿靜]