2015年公务员时政热点:三问12306网站用户数据泄露事件
“这次只是暴露了其中一部分的数据。”北京大学计算机科学技术系教授陈钟认为,“如果没有人揭露出来,公众、媒体可能也不清楚现在这个问题”。
与“撞库说”同时出现的,是对“抢票软件泄露数据”的猜测。12月25日,在警方公布抓获黑客之前,12306网站发表声明称数据系经其他网站或渠道流出,并提醒旅客“不要使用第三方抢票软件购票,或委托第三方网站购票”,以防止身份信息外泄。
然而,中国青年报记者在泄露的13万用户数据中随机拨打了18人的电话,共10人接受采访,他们均表示自己从未使用过第三方插件购票,有的甚至已将近一年未使用该账号。
李铁军分析,一些抢票软件有“离线抢票”的功能,存在一定风险或隐患。软件在电脑关闭之后,依然可以进行抢票,这意味着用户名、密码都交给了第三方。“这样的情况下,就增加了风险,当然,不能说就一定是他们有问题”。
他称,正常的抢票软件会遵守12306的规则,但一些小公司甚至黄牛开发的抢票软件“任何可能买到票的手段都会用到”,包括连接速度、破解验证码的速度。
他说,目前网上只公开了13万条泄露数据,除了撞库,是否还有其他原因,有待继续分析和警方调查。
陈钟认为,抢票软件能够成功抢票,说明系统里一定有正常的、可以使用的交互过程,“这里面可能还有其他方面的博弈,或者说管理上的博弈”。
陈钟强调,要以事实为依据,如果系统存在设计或管理缺陷,应该加以解决。
12306可填补哪些漏洞?
此次事件之前,在国内漏洞报告平台“乌云网”,12306网站2011年以来被网友指出约60处漏洞。其中,“验证码”问题是屡受诟病的漏洞之一。
验证码是用户登录时的一道关卡,只有用户名、密码、验证码都正确才可正常登录。如果验证码措施得当,即使黑客程序掌握了用户名、密码,“试”出其正确性的难度也大大增加。
余弦告诉中国青年报记者,在此次“撞库”事件中,12306存在易被“撞库”攻击的接口,该接口没做好安全防御,“原则上应该做好防御,比如,限制一个IP对这个接口的请求频率,超过一定频率或次数就应该采用验证码措施或屏蔽措施。”
【推荐】华图花新闻 一键关注 参与话题#国考面试时政热点# 花花带你看时政(国考面试备考:时政热点专题)