這不是12306網(wǎng)站第一次發(fā)生用戶信息泄露事件了，但是最大的一次。

12306官方網(wǎng)站當(dāng)日公告稱，經(jīng)認(rèn)真核查，此泄露信息全部含有用戶的明文密碼。12306網(wǎng)站數(shù)據(jù)庫所有用戶密碼均為多次加密的非明文轉(zhuǎn)換碼，網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出。目前，公安機(jī)關(guān)已經(jīng)介入調(diào)查。

12月25日上午10：59，烏云網(wǎng)發(fā)布漏洞報(bào)告稱，大量12306用戶數(shù)據(jù)在網(wǎng)絡(luò)上瘋狂傳播。

而此時(shí)，正是春運(yùn)購票的關(guān)鍵時(shí)刻，12306網(wǎng)站每天的訪問量都很驚人。

烏云網(wǎng)創(chuàng)始人鄔迪告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者，“這是烏云網(wǎng)歷史上，第一次如此大規(guī)模的鐵路用戶數(shù)據(jù)泄露。”

據(jù)了解，本次泄露事件被泄露的數(shù)據(jù)達(dá)131653 條，包括用戶賬號(hào)、明文密碼、身份證和郵箱等多種信息。

烏云網(wǎng)是一家專注于互聯(lián)網(wǎng)安全漏洞報(bào)告的平臺(tái)。鄔迪介紹稱，烏云網(wǎng)每天都會(huì)對(duì)各項(xiàng)數(shù)據(jù)進(jìn)行監(jiān)測(cè)，12306事件只是今天的一項(xiàng)內(nèi)容。但此前，他們也曾報(bào)告過12306網(wǎng)站泄露用戶信息的情況。

對(duì)這次用戶信息泄露事件，網(wǎng)絡(luò)議論熱烈。有網(wǎng)友擔(dān)心，這些泄露的信息是否包含購票過程使用的銀行卡等信息等。專業(yè)人士建議，如果用戶在其他網(wǎng)站也使用了12306網(wǎng)站同樣的用戶名和密碼，應(yīng)當(dāng)修改密碼。

多位接受21世紀(jì)經(jīng)濟(jì)報(bào)道記者采訪的安全專家對(duì)此事件分析認(rèn)為，這次很可能是黑客“撞庫”行為造成的，而非12306網(wǎng)站直接泄露，但同樣說明12306網(wǎng)站仍存在安全漏洞。不過，也有一些專家認(rèn)為事件原因仍不明。

對(duì)于此事件的影響，中國政法大學(xué)傳播法研究中心研究員朱巍分析稱，如果12306是出于過失導(dǎo)致信息泄露，司法實(shí)踐中會(huì)采用過錯(cuò)推定原則確定侵權(quán)責(zé)任，“即先推定12306存在過錯(cuò)，然后由12306舉證，證明自己盡到了安保責(zé)任”，朱巍說。

泄露原因何在？

烏云網(wǎng)創(chuàng)始人鄔迪告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者，12月25日上午10：59，在事件發(fā)生后，烏云網(wǎng)立刻進(jìn)行了核查，在確認(rèn)該消息的真實(shí)可靠性后對(duì)此事進(jìn)行了發(fā)布。

不久后12306就在第一時(shí)間知道了此消息，并與烏云網(wǎng)取得聯(lián)系，表示會(huì)認(rèn)真調(diào)查此事，并在日后發(fā)布公告。

下午14：15，烏云網(wǎng)通過新浪微博發(fā)布了消息稱，數(shù)據(jù)疑似黑客撞庫后整理得到，而并非12306直接泄漏，請(qǐng)用戶及時(shí)修改密碼同時(shí)慎用搶票工具。

鄔迪也對(duì)21世紀(jì)經(jīng)濟(jì)報(bào)道記者稱，所謂“撞庫”就是黑客通過收集網(wǎng)絡(luò)上已泄露的用戶名及密碼信息，生成對(duì)應(yīng)的“字典表”，到其他網(wǎng)站嘗試批量登錄，得到一批可以登錄的用戶賬號(hào)及密碼。

登錄用戶的后臺(tái)后，可能存在郵箱、手機(jī)號(hào)碼、身份證號(hào)碼被泄露、賬務(wù)積分和賬戶余額流失等多種風(fēng)險(xiǎn)。

“如果用戶及時(shí)修改原始密碼就可以規(guī)避撞庫風(fēng)險(xiǎn)。”鄔迪說，“但這并不等于自己的信息就完全安全了。”

鄔迪告訴記者，除了撞庫，還有另一種方式叫做拖庫。黑客通過技術(shù)直接下載某平臺(tái)的全部數(shù)據(jù)庫。“但本次12306泄露可以排除拖庫的可能性。”

在業(yè)內(nèi)人士看來，“拖庫”是指入侵有價(jià)值的網(wǎng)絡(luò)站點(diǎn)，把數(shù)據(jù)庫全部盜走的行為。盜取數(shù)據(jù)后，黑客會(huì)通過一系列的技術(shù)手段清洗數(shù)據(jù)，并在黑市上將有價(jià)值的用戶數(shù)據(jù)變現(xiàn)交易，此為“洗庫”。最后黑客將得到的數(shù)據(jù)在其它網(wǎng)站上進(jìn)行嘗試登陸，叫做“撞庫”。

浪潮電子信息安全事業(yè)部副總經(jīng)理蔡一兵對(duì)21世紀(jì)經(jīng)濟(jì)報(bào)道記者稱，“在互聯(lián)網(wǎng)的黑市里有一個(gè)非常成熟的產(chǎn)業(yè)鏈，有一個(gè)非常成熟的形成利益過程：拖庫、洗庫和撞庫。”

針對(duì)此次泄露事件的原因，360互聯(lián)網(wǎng)安全中心的安全研究人員非?？隙ǖ匾詴娣绞交卮?1世紀(jì)經(jīng)濟(jì)報(bào)道經(jīng)濟(jì)的采訪函時(shí)表示，“此次12306網(wǎng)站信息泄露是被黑客撞庫造成的。”

其理由是，經(jīng)過他們安全研究人員的調(diào)查發(fā)現(xiàn)，第一、幾乎所有13萬條12306賬號(hào)密碼，都可以在此前多家游戲網(wǎng)站泄露的密碼庫中匹配到相應(yīng)的記錄。說明黑客用多家游戲網(wǎng)站的密碼庫對(duì)12306發(fā)動(dòng)“撞庫”攻擊，篩選出13萬余條使用相同賬號(hào)密碼的用戶數(shù)據(jù)。第二，通過對(duì)12306泄露數(shù)據(jù)中的相關(guān)用戶進(jìn)行抽樣調(diào)查，超過半數(shù)沒有使用任何搶票軟件，其余則是使用不同的搶票軟件。

在今天的泄露事件發(fā)生后，網(wǎng)上曾流傳稱，有18G的完整12306數(shù)據(jù)庫被泄露，但是目前并沒有人在網(wǎng)上找到過這個(gè)數(shù)據(jù)庫。

泄露事件發(fā)生后，12306發(fā)布公告稱網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出，原因是12306網(wǎng)站使用的是多次加密的密碼，而泄露的是明文密碼。分析人士稱，這也從另一個(gè)側(cè)面說明，這些密碼可能不是從12306網(wǎng)站泄露出去的。

據(jù)烏云官網(wǎng)發(fā)布的消息稱，漏洞已交由第三方廠商國家互聯(lián)網(wǎng)應(yīng)急中心處理。12月25日，國家互聯(lián)網(wǎng)應(yīng)急中心人士對(duì)21世紀(jì)經(jīng)濟(jì)報(bào)道記者表示：“事件正在調(diào)查當(dāng)中，結(jié)果以官網(wǎng)發(fā)布為準(zhǔn)。”

一位網(wǎng)絡(luò)安全研究人員對(duì)21世紀(jì)經(jīng)濟(jì)報(bào)道記者稱，12306網(wǎng)站第一時(shí)間知道這個(gè)事情的，并發(fā)布了公告，但是幾個(gè)小時(shí)過去了，那些用戶名和密碼還可以登錄，并可能被用于更改他人密碼、找到他人的電話號(hào)碼，甚至幫人家退票，“他們?yōu)槭裁床痪o急通過技術(shù)手段，短信通知用戶，將泄露的用戶密碼強(qiáng)制更改或提醒客戶更改？”

為什么會(huì)有這么大的漏洞？

不過，鄔迪稱，“此事目前還無法下定論。”

在12306網(wǎng)站在發(fā)布上述提示公告時(shí)，還特別提醒旅客不要使用第三方搶票軟件購票。這使得外界懷疑，此次泄露事件由第三方搶票軟件而起。

一位長期研究刷票軟件的人員告訴21世紀(jì)經(jīng)濟(jì)報(bào)道，目前搶票軟件發(fā)展速度極快，但并不存在十分清晰的盈利模式，因此從第三方軟件中泄露數(shù)據(jù)的可能性也依然存在。

一位從事軟件程序開發(fā)的技術(shù)人員告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者，這類搶票軟件的技術(shù)要求一般不高，如果第三方?jīng)]有嚴(yán)格的保護(hù)措施，用戶信息就存在不安全的隱患。

對(duì)于此，360公司相關(guān)人員書面回應(yīng)稱，360搶票王基于360安全瀏覽器，360安全瀏覽器的上網(wǎng)安全技術(shù)和措施都可以保障搶票王的安全。他們認(rèn)為，此次12306數(shù)據(jù)泄露事件與搶票軟件無關(guān)。

互聯(lián)網(wǎng)安全專家更關(guān)心的是，如果真是撞庫造成的泄露，12306網(wǎng)站為什么會(huì)留下這么大的漏洞？

“如果這次撞庫發(fā)生在Google、微軟身上，不可能成功。因?yàn)槌墒斓木W(wǎng)站都會(huì)在登陸服務(wù)器時(shí)設(shè)置二次驗(yàn)證程序。國內(nèi)很多網(wǎng)站為了節(jié)省成本，并沒有設(shè)置這一道程序。” 獵豹移動(dòng)安全專家李鐵軍對(duì)21世紀(jì)經(jīng)濟(jì)報(bào)道說。但是，目前并不清楚，此次漏洞是否與驗(yàn)證程序設(shè)置有關(guān)。

據(jù)一位對(duì)烏云網(wǎng)比較了解的專業(yè)人士稱，12306網(wǎng)站從2012年2月開始，在烏云網(wǎng)上被披露的漏洞接近50個(gè)，其中涉及用戶資料泄漏和敏感信息泄露的漏洞占7%，而還有44%的漏洞可間接導(dǎo)致信息泄漏，例如命令執(zhí)行漏洞和SQL注射漏洞。

而這些被監(jiān)測(cè)到的漏洞都持續(xù)了很長時(shí)間。這位專業(yè)人士稱，他們也不明白為什么這些漏洞一直沒有被補(bǔ)救。

360安全專家安揚(yáng)也認(rèn)為，12306網(wǎng)站被撞庫，說明12306賬號(hào)安全體系仍需要進(jìn)一步完善，盡可能及時(shí)發(fā)現(xiàn)并阻斷黑客撞庫攻擊。

據(jù)21世紀(jì)經(jīng)濟(jì)報(bào)道此前的報(bào)道， 12306網(wǎng)站由鐵科院開發(fā)，鐵科院是原鐵道部下屬的單位。

一位從事高鐵安全行業(yè)的人士對(duì)21世紀(jì)經(jīng)濟(jì)報(bào)道記者稱，其實(shí)早在之前，鐵科院內(nèi)部已經(jīng)發(fā)現(xiàn)這一問題，但至今尚未完全解決，直到如今東窗事發(fā)。

黑色產(chǎn)業(yè)鏈

安揚(yáng)對(duì)21世紀(jì)經(jīng)濟(jì)報(bào)道記者介紹，目前在互聯(lián)網(wǎng)上公開流傳的用戶數(shù)據(jù)很多，僅2012年CSDN、天涯的泄露數(shù)據(jù)就超過2億條，今年還出現(xiàn)了攜程、如家、當(dāng)當(dāng)?shù)男孤妒录?/p>

另據(jù)知道創(chuàng)宇旗下的網(wǎng)絡(luò)空間搜索引擎ZoomEye統(tǒng)計(jì)，中國目前至少有13000臺(tái)服務(wù)器存在破殼漏洞，全球大概有140000臺(tái)主機(jī)存在風(fēng)險(xiǎn)。

知道創(chuàng)宇技術(shù)副總裁鐘晨鳴稱，最近三四年，國內(nèi)持續(xù)泄露的互聯(lián)網(wǎng)數(shù)據(jù)，國內(nèi)總量級(jí)達(dá)到50億條用戶賬戶信息。 知道創(chuàng)宇是全球知名的互聯(lián)網(wǎng)安全公司，其創(chuàng)始團(tuán)隊(duì)在互聯(lián)網(wǎng)安全領(lǐng)域服務(wù)了十多年，不久前還承擔(dān)了APEC期間新聞平臺(tái)網(wǎng)絡(luò)安全工作。

此外，騰訊手機(jī)管家安全專家陸兆華對(duì)21世紀(jì)經(jīng)濟(jì)報(bào)道記者表示，在互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈內(nèi)部，成員還存在數(shù)據(jù)庫共享的機(jī)制，非常容易就獲取到不同平臺(tái)被成功拖庫的信息，而用戶的敏感信息比如身份證信息、電話號(hào)碼、常用密碼都是相對(duì)不變的，一旦泄漏就會(huì)給用戶造成持續(xù)的影響。

在此事件的發(fā)生上一周，由國家信息安全漏洞共享平臺(tái)發(fā)布的信息安全漏洞周報(bào)顯示，2014 年 12 月 15 日至2014 年 12 月 21 日，國家信息安全漏洞共享平臺(tái)（以下簡稱 CNVD）本周共收集、整理信息安全漏洞 144 個(gè)。上述漏洞中，可利用來實(shí)施遠(yuǎn)程攻擊的漏洞有 128 個(gè)。截至報(bào)告發(fā)布時(shí)間，已有 119 個(gè)漏洞由廠商提供了修補(bǔ)方案。

獵豹移動(dòng)安全專家李鐵軍指出，中國的互聯(lián)網(wǎng)化進(jìn)程非?？?，很多傳統(tǒng)行業(yè)，比如政府、醫(yī)療、航空、保險(xiǎn)等等，都采用信息化開發(fā)業(yè)務(wù)。但是，這些企業(yè)的安全意識(shí)轉(zhuǎn)變并沒有跟上，企業(yè)的安全管理、安全人才儲(chǔ)備不足，很容易被攻擊，造成信息泄露。“所以，有的客戶剛剛訂了機(jī)票，就收到機(jī)票相關(guān)的詐騙電話、短信。”

北京銀庫副總裁杜占源對(duì)21世紀(jì)經(jīng)濟(jì)報(bào)道記者表示，對(duì)于絕大多數(shù)的數(shù)據(jù)泄露來講是因?yàn)榫W(wǎng)站自身存在安全漏洞引起的。目前很多非金融類的網(wǎng)站也進(jìn)行實(shí)名制，但這些網(wǎng)站未必采取了很好的安全措施，一旦這類網(wǎng)站存在漏洞，用戶身份證的關(guān)鍵信息必然泄露。

據(jù)央行制定的《銀行卡收單業(yè)務(wù)管理辦法》規(guī)定，“收單單位不得以任何形式儲(chǔ)存銀行卡的敏感信息”，但一些網(wǎng)站往往突破此規(guī)定。在攜程網(wǎng)“漏洞門”事件中，攜程網(wǎng)堅(jiān)持沒有過度搜集用戶信息，其理由是：“未扣款成功的CVV碼信息會(huì)被暫存7天，目的是協(xié)助用戶便捷支付。”

12306泄露事件發(fā)生至今，尚未暴出泄露的個(gè)人信息中包括用戶購票的銀行卡信息。

泄露事件同樣引起了對(duì)網(wǎng)絡(luò)實(shí)名制的討論。“韓國網(wǎng)絡(luò)實(shí)名制半途而廢的原因，就是無法解決大規(guī)模個(gè)人信息泄露問題”，中國政法大學(xué)傳播法研究中心研究員朱巍說。他建議，我國網(wǎng)絡(luò)實(shí)名制實(shí)行過程中，可以考慮規(guī)定商業(yè)網(wǎng)站無權(quán)保管個(gè)人核心信息，轉(zhuǎn)由安保等級(jí)更高的公安部平臺(tái)管理。

侵權(quán)責(zé)任如何劃分？

2012年12月28日，全國人大常委會(huì)通過《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》后，網(wǎng)絡(luò)個(gè)人信息保護(hù)有了法律依據(jù)。今年3月15日施行的新《消費(fèi)者權(quán)益保護(hù)法》也增加了保護(hù)消費(fèi)者個(gè)人信息的規(guī)定。

最新的司法依據(jù)是10月9日，最高法院公布的《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》，其中首次列舉了個(gè)人隱私的范圍。

“泄露個(gè)人信息者一定要承擔(dān)相應(yīng)的侵權(quán)責(zé)任，問題是誰來承擔(dān)”，朱巍告訴記者。

“如果是12306泄露，要區(qū)分為故意泄露還是過失泄露，故意泄露毫無疑問要承擔(dān)侵權(quán)責(zé)任”，朱巍說，“在國外，故意泄露還可以區(qū)分為出于商業(yè)目的還是非商業(yè)目的，如果是商業(yè)目的要加大處分力度，但國內(nèi)司法沒有這樣的區(qū)分”。

如果12306是出于過失導(dǎo)致信息泄露，司法實(shí)踐中會(huì)采用過錯(cuò)推定原則確定侵權(quán)責(zé)任，“即先推定12306存在過錯(cuò)，然后由12306舉證，證明自己盡到了安保責(zé)任”，朱巍說。

朱巍認(rèn)為，如果存在12306作為開放平臺(tái)，通過開放端口與第三方平臺(tái)進(jìn)行授權(quán)合作的情況，即使信息是經(jīng)第三方泄露，12306也應(yīng)承擔(dān)連帶責(zé)任。

“這幾乎是整個(gè)互聯(lián)網(wǎng)產(chǎn)業(yè)的‘通病’，比如用戶注冊(cè)了一家互聯(lián)網(wǎng)服務(wù)，結(jié)果發(fā)現(xiàn)自己的信息被授權(quán)給了這家網(wǎng)站的合作方”，朱巍說。

他認(rèn)為，哪怕用戶在注冊(cè)互聯(lián)網(wǎng)服務(wù)時(shí)，對(duì)方已經(jīng)提醒其個(gè)人信息可以授權(quán)轉(zhuǎn)讓給合作方，這也不能成為用戶信息泄露時(shí)其免責(zé)的理由，“因?yàn)檫@是格式合同，用戶如果拒絕就不能完成注冊(cè)”，朱巍說。

只不過，承擔(dān)連帶責(zé)任的網(wǎng)站，可以按照和第三方網(wǎng)站的內(nèi)部責(zé)任劃分約定，向直接泄露信息的第三方追償。

“最后一種情況是12306根本不知情，信息泄露源于不可抗力，但12306也要證明自己盡到了安保義務(wù)”，朱巍說。