嫌犯已被抓,但 12306 赢得信任还很难
中午的消息,12306 网站用户信息泄露事件有了最新的进展,据中国铁路官方微博消息,铁路公安机关于 2014 年 12 月 25 日晚,将涉嫌窃取并泄露他人电子信息的犯罪嫌疑人抓获。相对具体的情况是:
铁路公安机关于 2014 年 12 月 25 日晚,将涉嫌窃取并泄露他人电子信息的犯罪嫌疑人抓获。经查,嫌疑人蒋某某、施某某通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息,尝试登录其他网站进行 “撞库”,非法获取用户的其他信息,并谋取非法利益。
铁路公安机关提醒广大旅客,为了保护您的个人电子信息安全,在设置 12306 网站登陆密码时不要使用在其他网站相同的密码,并且不要通过第三方网站购票。目前,案件正在审理中。
这个结果也和昨晚一些网络安全机构的调查推理结果相类似,这次事件中 12306 网站本身并未被黑客攻破,信息泄露是由黑客手中掌握的先前其他网站用户数据进行撞库发生,信息泄露的用户在其他网站使用了和 12306 网站一样的帐号密码。
佐证 “撞库攻击” 结论的安全机构不止一家,这个结果也比较令人信服。至于中国铁路公告中的泄露信息的 “某游戏网站。其他多个网站” 到底为哪几家,也有安全机构给出了自己的调查结果。金山毒霸指出的是 17173、开心网,知道创宇指出的是 17173、7k7k、uuu9,其中大多是和游戏相关的。
所以,在不到两天的时间里,这个信息泄露事件其实也算是告一段落,泄露原因查明,嫌犯也已经抓到。但是其影响不仅如此。
在新浪网做的一次调查中,12306 被信任的状况堪忧:
原因可想而知,12306 被诟病不是一天两天,即使这一次的 “撞库攻击” 中,12306 本身没什么可以指摘的地方,也有相当一大部分的人认为,所谓的游戏网站泄露信息,12306 被撞库只是替罪羊,12306 还需承担责任。网站界面丑陋,耗资众多,买不到票、经常崩溃等情况使得民众积怨甚深,这种过往过错使得 12306 的形象并不正面。
当然,12306 在这次事件中不需要承担什么责任并不意味着 12306 没有安全隐患,先前就有消息称 12306 网站主域名下共有 6 个分站存在严重的 Strust2 框架的远程执行漏洞,黑客可利用该漏洞控制分站服务器,进而攻击整个 12306 网站,并窃取所有数据库中的信息。而也有黑客曾经宣布侵入了 12306 的服务器,不过目前还难辨真假。
所以对于用户和 12306 而言,这一次更多是虚惊一场,但是漏洞还在,风险也在,互联网的安全斗争也从未停止,12306 也远没有到安心的时候,作为一个国民必须的网站和服务,做得远远不够。
题图系专辑《南北》封面