記者最新獲悉,12306在數據洩露事件後,為了最大限度地保護信息安全,已經接入360「補天」漏洞響應平臺,正主動懸賞徵集和處理漏洞。
12月27日下午,安全專家「趙武360」發布微博稱:「12306目前已接入補天漏洞響應平臺,參與私有SRC計劃,積極收集和處理漏洞。希望各位安全專家負責任的提交和協助漏洞修復。」
微博發布數分鐘後,多位安全專家轉發,並對鐵路部門本次對信息安全的重視和對處理漏洞的積極態度表示讚許。
圖:首席信息安全官網創始人張百川轉發微博並表示讚許
記者從360「補天」漏洞響應平臺上看到,認證為中國鐵道科學研究院(網站:www.12306.cn)
的廠商已經為兩位27日提交漏洞的白帽子黑客分表發放了1000元人民幣獎金,這兩個漏洞的危險等級都評估為「高」。該平臺上,白帽子黑客們提交的12306漏洞共計15個,其中高危等級的漏洞就有11個。
圖:「補天」漏洞響應平臺上,12306正在懸賞收集漏洞
此前,12306被爆出數據洩露事件,受到了大眾的廣泛關注。鐵路公安證實,犯罪嫌疑人採用「撞庫」方式,非法獲取了12306用戶數據。
隨後,360公司稱,12306之所以被「撞庫」,很可能是其手機APP漏洞導致。360「補天」漏洞平臺發現,12306手機APP登陸接口可被黑客惡意利用,無限次嘗試撞庫破解。
據了解,這次12306加入的360「補天」私有SRC(Security Response
Center,安全應急響應中心),可以發動全網有貢獻精神的網絡安全專家,為企業提交安全漏洞,採用SRC方式提交的漏洞不會對外公開。
數據顯示,國內有超過95%的網站存在漏洞,超過40%的網站存在後門。因此,網際網路上每天都在爆發「拖庫」事件,從普通網站到手機應用軟體,用戶信息隨時有大批量洩露的可能。事實證明,SRC模式可以非常有效且快速的獲取企業安全漏洞信息,提高企業安全防禦能力。