▲資料圖 圖片來源:視覺中國
據新京報報導,12月28日上午,有人在網上宣稱12306平臺旅客信息洩露,低價出售60萬帳戶信息、410萬聯繫人數據,還免費公開部分帳號供買家驗證。記者隨機驗證了幾個號碼,均成功登錄。對此,12306官方客服表示,平臺未發生用戶信息洩露情況,網絡售賣信息為旅客登錄第三方平臺時洩露。而發布「發現暗網兜售12306帳號」信息的微信公號,刪除文章後發布了「致歉聲明」,稱目前該兜售渠道已不存在。
▲網絡上有人公開售賣12306旅客信息。 圖片來源:新京報
事實上,早在2014年12月25日,漏洞報告平臺烏雲網上,就曾出現一則關於12306的漏洞報告,危害等級顯示為「高」,漏洞類型則是「用戶資料大量洩露」。
當時,各方的回應如出一轍,如12306表示「系經其他網站或渠道流出。」而眾多第三方也都紛紛與之切割,如百度回應「百度衛士搶票寶本身就是一款安全軟體……不會出現洩露問題」;攜程回應稱,「此事與攜程沒有任何關係」;360回應稱,「360瀏覽器搶票軟體具有業界最嚴格的安全防護機制,從未發生數據洩露情況」等。
好在,2014年那起洩露事件發生的當晚,鐵路公安將涉嫌竊取並洩露信息的犯罪嫌疑人抓獲。後來查明,嫌疑人是通過收集某遊戲網站以及其他多個網站洩露的用戶名加密碼信息,嘗試登錄其他網站進行「撞庫」,從而獲取用戶信息。也就是說,那些在多個平臺用同一帳戶和密碼的用戶,基本就這麼一試就「暴露」了。
巧合的是,這兩次事件都趕在春運即將到來、春運搶票開啟的初期,個人信息的洩露,無異於給準備回家過年的人們心裡,增添更多的焦慮和陰影。
無論如何,這樣的重大洩露事故,都暴露了個人信息安全藩籬的脆弱。這次12306用戶信息被兜售,不知道是之前洩露的數據被人再次販賣,還是出現了新的信息洩露情況。根據既有線索按圖索驥,抓到販賣個人信息者,顯然很有必要。
▲中國鐵路總公司對網傳「12306數據疑似洩露」作出回應。 圖片來源:中國鐵路官方微博
但也要看到,責任方不僅僅是幾個直接竊取信息的犯罪嫌疑人。像2014年那次洩露事件中,最先洩露用戶信息的遊戲網站和其他網站,其安全性能明顯不合格,需要承擔相應的責任,以及整頓改進自己的平臺。正如信息安全專家說的,「其帳號安全體系同樣存在缺陷,才會被黑客利用自動化程序嘗試登錄撞庫。」當被大規模「撞擊」時,相關網站顯然應有較為敏感的「應激反應」,提前預知可能存在的撞擊盜號風險,從而及時開啟預警防備功能,儘量為用戶個人信息安全護航。
所以,無論是12306,還是一些其他的搶票軟體,都不能因為自己不是洩露的源頭,就高高掛起。最起碼要有「魔高一尺道高一丈」的技術信心和野心,不斷查漏補缺,為用戶建立起更安全更高效的服務平臺。俗話說,蒼蠅不叮無縫的蛋,提高「防撞擊」能力,也是改進的方向。
網際網路平臺的用戶信息洩露,幾乎每一次,平臺都會提醒用戶及時更改密碼,甚至提倡用戶使用不同的帳戶和密碼。但如今,網際網路早已深入大眾生活的方方面面,太多平臺的太多帳戶,指望用戶都用不同的帳戶和密碼,是不現實的。
而從更大的格局講,如果我們的應對措施只能是「讓用戶改密碼」,這其實是把平臺的責任轉嫁給用戶,是讓最脆弱的一環承擔起最後的狙擊,怎麼看都有一種無力感和悲壯感。
這次12306帳號被兜售事件,無疑再次給個人信息安全敲響了警鐘。當下是信息爆炸的時代,也是「信息即資本,數據即財富」的時代,個人信息安全到了從未如此凸顯,也從未如此迫切的地步。技術暴露的問題終須技術來解決,我們期望企業和管理部門都能夠擔起責任,讓用戶更加安心。特別是年關之際,開心回家過年的前提終歸也是足夠放心和舒心。
□樊成(媒體人)
編輯 孟然 楊林鑫 校對 王心