身陷数据泄露事件的12306网站,终于开始悬赏征集漏洞。
12月25日,这家被广泛用于订购火车票的官方网站,被指流出约13万用户数据。其中包括姓名、身份证号、手机号、用户名、密码等敏感信息。
尽管铁路警方调查宣称事件由黑客“撞库”导致,数据并非从12306网站泄露,但12306网站的安全体系仍有完善的空间。
谁泄露,泄露了多少用户数据?
谁泄露了用户数据?泄露的数据总量有多少?在多位互联网安全人士看来,综合目前消息,极有可能是“撞库”导致数据泄露,且泄露的数据可能不止13万用户。
“撞库”是一种黑客攻击方式。黑客会收集在网络上已泄露的用户名、密码等信息,之后用技术手段前往一些网站逐个“试”着登录,最终“撞大运”地“试”出一些可以登录的用户名、密码。
显然,“撞库”成功的一个前提是,用户在多家网站注册的用户名、密码都相同。多位互联网安全人士经过分析,均认为此次事件“应该是撞库造成的”,“用户名、密码都没改”。
第三方网络安全机构“知道创宇”技术副总裁余弦告诉中国青年报记者,公司研究团队在几家网站2012年、2013年泄露的用户数据中抽取50个作为样本,与此次13万用户数据进行比对,“匹配度有100%”。
“猎豹移动”安全专家李铁军也表示,他们将前几年黑客圈流传出的上亿条泄露数据进行比对,“绝大部分都是和以往的库是重合的”。
12月26日,中国铁道总公司公开证实了这一点。公司官方微博称,铁路公安机关于12月25日晚将嫌疑人蒋某某、施某某成功抓获,嫌疑人通过手机互联网某游戏网站以及其他多个网站泄漏的用户名加密码信息,尝试登陆其他网站进行“撞库”,非法获取用户的其他信息,并谋取非法利益。
不过,李铁军推测,如果用以往那么大的数据量去“撞”12306网站,从理论上来说,泄露的数据或许不止13万条,“怎么着也是百万级别的。可能这13万用户的数据只是在黑色产业链非法交易中的一部分样本”。
“这次只是暴露了其中一部分的数据。”北京大学计算机科学技术系教授陈钟认为,“如果没有人揭露出来,公众、媒体可能也不清楚现在这个问题”。
与“撞库说”同时出现的,是对“抢票软件泄露数据”的猜测。12月25日,在警方公布抓获黑客之前,12306网站发表声明称数据系经其他网站或渠道流出,并提醒旅客“不要使用第三方抢票软件购票,或委托第三方网站购票”,以防止身份信息外泄。
然而,中国青年报记者在泄露的13万用户数据中随机拨打了18人的电话,共10人接受采访,他们均表示自己从未使用过第三方插件购票,有的甚至已将近一年未使用该账号。
李铁军分析,一些抢票软件有“离线抢票”的功能,存在一定风险或隐患。软件在电脑关闭之后,依然可以进行抢票,这意味着用户名、密码都交给了第三方。“这样的情况下,就增加了风险,当然,不能说就一定是他们有问题”。
他称,正常的抢票软件会遵守12306的规则,但一些小公司甚至黄牛开发的抢票软件“任何可能买到票的手段都会用到”,包括连接速度、破解验证码的速度。
他说,目前网上只公开了13万条泄露数据,除了撞库,是否还有其他原因,有待继续分析和警方调查。
陈钟认为,抢票软件能够成功抢票,说明系统里一定有正常的、可以使用的交互过程,“这里面可能还有其他方面的博弈,或者说管理上的博弈”。
陈钟强调,要以事实为依据,如果系统存在设计或管理缺陷,应该加以解决。
12306可填补哪些漏洞?
此次事件之前,在国内漏洞报告平台“乌云网”,12306网站2011年以来被网友指出约60处漏洞。其中,“验证码”问题是屡受诟病的漏洞之一。
验证码是用户登录时的一道关卡,只有用户名、密码、验证码都正确才可正常登录。如果验证码措施得当,即使黑客程序掌握了用户名、密码,“试”出其正确性的难度也大大增加。
余弦告诉中国青年报记者,在此次“撞库”事件中,12306存在易被“撞库”攻击的接口,该接口没做好安全防御,“原则上应该做好防御,比如,限制一个IP对这个接口的请求频率,超过一定频率或次数就应该采用验证码措施或屏蔽措施。”
知道创宇公司并非类似问题的唯一提出者。2014年1月,面对多位网友长期的漏洞提示,12306网站的厂商“中国铁道科学研究院”在乌云网答复网友“debbbbie”时坦言,“关于验证码的事情大家已经说得太多了,让你们受累”。
而在2013年12月,厂商在乌云网答复《12306弱验证码可被轻松识别》时还称,验证码搞复杂了,机器和用户都不好认,为了用户体验,公司选择简单验证码。
陈钟认为,高强度的安全措施肯定有高成本,一个系统应该设计到什么程度,安全性、方便性要有一个平衡。他相信,随着网络应用、安全风险的掌控逐渐深入,相应的身份鉴别措施会加强,方便性也会得到保障。
“从目前来看,这个系统在认证方面所做的要求还是比较低的。相比银行金融系统,比如说使用优盾或其他鉴别方式,它在辨别方面做得还是比较弱的。”陈钟说。
在李铁军看来,从网络安全角度来说,12306账号系统可以引入“手机验证码”的机制,仅仅是泄露了用户名、密码,也无法登录这个系统。
“当用户换了一台机器,或者换了一个城市,IP地址发生了改变,这个时候,像其他安全公司的大数据支撑一样,就应该判断出来这个用户的账号可能出现了安全隐患,这种情况下,登录是不是要验证用户的手机呢?我觉得加一道关可能会好一些。”他解释。
李铁军还发现,只要登录12306网站,就可以看到常用联系人的身份证、手机号等信息,“这方面是不是可以考虑做一个隐藏、技术处理?当这些用户需要修改的时候,才能看到它。第二重验证的时候才可以看到完整的信息,而不是一登录进去就能看到”。
陈钟说,对于用户个人,不要设置简单、长期不变的密码。不管系统提供了多强大的认证,这都是用户个人的基本安全措施。
为何公共部门多次发生信息泄露事件?
在此次事件公开之前,国内“补天”漏洞响应平台也发布了多起信息泄露事件。尽管有关厂商对此已经确认,但媒体鲜有报道。中国青年报记者发现,其中多起事件与政府部门有关。
泄露数据量最大的是“全杭州市2003年至今所有近90万名新生婴儿及近180万名父母敏感信息”,包括姓名、年龄、身份证、家庭住址等。12月24日漏洞被网友提交当天,浙江省卫生和计划生育委员会就确认了该漏洞。
此外,浙江省卫计委的12万名儿童及家长信息、南京车管所某系统的46万名学员信息等数据,也被网友作为漏洞提交,并得到当事厂商确认。
一系列信息泄露事件引起一些网友的猜想。多位人士告诉中国青年报记者,他们在网上报名国家、地方各类考试后,也经常收到推销所谓内部答案的垃圾短信。
公开报道中,组织部门对考生收到答案的答复通常是,官方没有泄露考生信息,请考生注意保护个人信息安全。
李铁军认为,目前,国内各行各业都希望把自身业务通过互联网技术加以改造,在此过程中,可能由于缺少安全方面的专业人才,便只提供了互联网服务,在数据保护和信息加密方面相对比较弱。
“我们现在看到的一些情况就是,普通网民的信息通过各种渠道被泄露出去的概率是非常高的。政府机关、学校,还有其他一些非互联网企业,刚刚开始把它的业务向互联网转型来做的时候,可能安全不是他们首先要考虑的事情,所以这就给一些入侵者造成了机会。”李铁军分析。
陈钟告诉记者,现在,医院、学校等政府部门、事业单位的一些系统大多是委托专业公司开发的,很难将“水平低”作为信息泄露的借口,“可能过去由于技术的缺陷,或是对这个不重视,会暴露一些问题。这在以前的信息泄露事件中也曾反映出来”。
陈钟说,我们国家现在实行信息等级保护制度,核心的部分在防控,不同等级有不同的要求,这个体系还是完善的,但要看具体的执行和管理,“这方面要加强整合和监督,特别是发生了问题要及时亡羊补牢”。
李铁军同样认为,管理机关要重视个人信息的保护,提供这些服务的开发者则应该多考虑安全方面的设计,因为个人信息泄露最终的受害者是网民,存储个人信息的单位基本上没有什么损失。
12306网站已走出了亡羊补牢的一步。12月27日,中国铁道科学研究院在“补天”平台中开始悬赏征集漏洞,截至发稿,一条漏洞的悬赏金额为1000元。
陈钟评价,采取类似的方式去发现弱点、补漏洞是可取的。12306网站还可以更多地与业界的专业人士、厂商合作,完善制度和系统,“关起门来自己做的方式还是需要改善,要适应现在更开放的互联网的环境”。
此前,曾有法学学者在接受中国青年报采访时表示,如果政府部门泄露的信息导致公民受到损失,可以申请国家赔偿。
(张小鱼对本文亦有贡献)
记者 卢义杰 实习生 王海萍 钟咏峰