本报简介“12306”出现漏洞 网站频现“泄密”事件为哪般
近年来,人们对网络的依赖逐渐增强,很多人都在网站拥有账户和密码以方便享受网站提供的服务。然而网站泄密事件的发生,给人们带来了诸多安全隐患。
2014年12月25日上午,漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告。
据了解,这则关于12306的漏洞报告,危害登记显示为“高”,漏洞类型则是“用户资料大量泄露”,这意味着,这个漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露。
瑞星公司针对12306网站用户隐私被泄露事件进行调查后发现,12306网站主域名下共有6个分站存在严重的Strust2框架的远程执行漏洞。
同日,犯罪嫌疑人蒋某某、施某某被抓获。经过警方初步审查,两人交代是通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息,尝试登录其他网站进行“撞库”,非法获取用户的其他信息,并牟取非法利益。
在12306网站数据库泄露之后,网站加入了补天漏洞响应平台,并且主管方中国铁道科学研究院单次最高悬赏2000元,号召网友查找漏洞。截至去年12月29日,已经有20多位网友提交了漏洞报告,根据发现漏洞的高低程度,有9位网友获得50元到2000元不等的悬赏金额,累计获得悬赏金额达4850元。
近年来,人们对网络的依赖逐渐增强,很多人都在网站拥有账户和密码以方便享受网站提供的服务。然而网站泄密事件的发生,给人们带来了诸多安全隐患。
网站泄密事件频发
2013年3月27日,有网友在微博上曝出,使用谷歌搜索输入“site:shenghuo.alipay.com转账付款”即可看到各种转账信息,包括转账付款姓名、账户信息、付款金额、付款账户、付款说明等,数量超过2000条。很多网友担心自己的信息和资金安全,表示“再也不通过支付宝转账了”。
对此,支付宝迅速在其官方微博中回应称,支付宝生活助手转账付款结果页面一般用于支付双方展示支付结果,不含真实姓名、密码等重要信息,支付宝对这一页面链接加具了安全保护,正常情况下任何搜索引擎都无法抓取。目前已将用户付款结果页面做部分信息隐藏,进一步帮助用户保护个人隐私信息。
2014年3月22日,国内网络安全问题反馈平台——乌云漏洞平台发布消息称,携程系统存技术漏洞,可导致用户个人信息、银行卡信息等泄露。漏洞泄露信息包括用户姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV码(卡号、有效期和服务约束代码生成的3位或4位数字)等,上述信息可能被黑客读取。
23日,携程发布声明称,就携程存漏洞一事,目前确认共93人账户存安全风险,并已通知相关用户更换信用卡,并在其官方微博上表示,将给予这93名用户每人500元任我行礼品卡作为补偿。
违法成本低是“泄密”事件
再三出现的根源
中国电子商务研究中心特约研究员、广州金鹏律师事务所合伙人詹朝霞律师认为,从法律层面来看,各类服务提供商,基于提供服务所采集的用户信息数据,具有严格保密的法律义务,类似的规定散见于国家工商总局发布的《网络交易管理办法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》等相关法律法规中,虽然规定不少,但相关规定中却没有设置任何对应的处罚措施,违法成本极低。
“在日益繁杂多变的网络交易中,服务商们忙于应付各种生意,对于用户信息保密仅仅是基于商业道德或品牌荣誉的角度,其实施力度可想而知。可以毫不夸张地说,法律监管的缺失是类似事件一而再再而三爆发的根本。行政主管部门,比如工商局、银监会、证监会、通管局等相关部门应该形成联动机制,对泄露用户信息的行为甚至是‘出卖’用户信息的行为进行狠狠打击,还消费者以安全,还消费者以放心。”詹朝霞说。
商家过失导致消费者
经济损失理应赔偿
中国电子商务研究中心特约研究员、浙江泽大律师事务所付勇勇律师认为,根据《消费者权益保护法》的规定,经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。
“在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。另外,《网络交易管理办法》也有相同的规定。如果由于经营者的过失,导致消费者经济损失的,理应承担相应的赔偿责任。”付勇勇说。
网站用户数据的
安全保障法律仍是空白
中国电子商务研究中心特约研究员、北京志霖律师事务所赵占领认为,目前关于用户数据的安全保障法律仍是空白的,此前工信部直属的中国软件测评中心透露,《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。但是,有业内人士担心,指南不是强制性标准,甚至也不是推荐性标准,其执行效力如何,仍待观察。
如何防止个人信息被泄露?
针对这个问题,中国电子商务研究中心助理分析师沈云云给出了自己的建议。她认为,现在许多网站、论坛都需要用户注册账号后才能正常使用。因此,每个网民拥有多个账号是很平常的事情。在注册时,网站一般都需要填写一些个人信息,如常见的账号、密码、邮箱等,像一些电子商务、婚恋、交友网站等还需要实名认证,要求填写的信息更加详细。
沈云云总结了网站用户信息泄露的多种可能性途径:黑客利用网站存在的安全漏洞入侵网站,盗取用户数据库;网站内部工作人员倒卖用户信息;通过撞库攻击,窃取用户数据;利用钓鱼攻击窃取用户信息;通过木马、病毒窃取用户隐私信息等。
“我国关于网络信息安全方面的法律条文不够明确,适用范围尚且不够精准,相关条文必须得到进一步细化、规范,以此更加公平公正地惩治网络信息安全事故的造成者,保护公民切身利益。”沈云云认为,此类信息泄露事件不适用“不告不处理的”的原则,相反,执法部门应主动积极介入案件调查,并对实施者进行追责处理。
她提醒广大网友,警惕要求重新输入账号信息,否则将停掉信用卡账号之类的邮件,不要回复或者点击邮件的链接,以免落入圈套。同时,避免开启来路不明的电子邮件及文件,安装杀毒软件并及时升级病毒知识库和操作系统补丁,将敏感信息输入隐私保护,打开个人防火墙。
使用网络银行时,选择使用网络凭证及约定账户方式进行转账交易,不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。不要在多个网站使用相同的注册账户名以及登录密码,防止网络黑客有意盗取,造成多个网站个人信息的连环失窃。