訂車票網站外洩 13 萬用戶資料、事後追究責任是否太遲？

最近網站 12306.cn 使用者資料外洩成為大眾焦點，12306 其實是中國鐵路客戶服務中心的熱線，沿用多年，所以用電話作為網站 Domain 會令人容易聯想到兩者是提供相同服務內容。這個網站由中國鐵道科學研究院主管，可以訂購中國全國火車票，非常方便，但這次洩露事故令人質疑如此大型機構都會犯下這樣的問題？

懸賞找漏洞

繼 2014 年 5 月小米使用者資料庫洩漏，約 800 萬個涵蓋用戶名、密碼、短信、通訊錄等私密內容被公開；今次，12306 網站中招，有內地媒體報導稱，大量 12306 網站使用者資訊遭洩露，已知公開傳播的資料庫涉及的使用者資料超過 13 萬條，鐵路警方迅速拘捕了疑犯。現在 12306 網站最高懸賞 2000 大元，號召網友查找漏洞。

通過懸賞請安全專家和黑客高手出馬，尋找網站存在的安全性漏洞，旨在幫助企業發現並修復漏洞，在一定程度上有助提升安全防護水準。問題是，安全專業和民間高人能否早過那些專門竊取資料的不法分子？互聯網使用者資料已成為一條規模巨大的地下黑色產業鏈，估計規模在百億元左右，且組織分工仔細，有人負責偷取，有人販賣，有人利用資料推銷詐騙，甚至直接在網上盜取他人錢財。為什麼網站總是在出事後才全力找漏洞，而黑客卻每日在找你的漏洞？

沒有絕對的安全

網站的安全是不可信任的，無論是國內的還是國外的，網站負責人只能儘量控制資訊的源頭。近年來，互聯網使用者資料庫洩露事件越來越頻密、越來越嚴重倒是不假。

網站不可能不受黑客攻擊，尤其是一些擁有大量市民個人資料的大型網站，因此網站帳號安全顯得尤為重要。如果帳號安全措施做得足夠，黑客在嘗試攻擊時，網站就能及時發現並阻斷，不讓黑客容易得逞。資料外洩說明網站的安全漏洞被黑客成功借用。即使 12306.cn 不斷提醒旅客不要使用「外掛」軟件購票或委託他人代購，然而這種提醒倒像在說「錯不在我」似的，

但官方卻沒有想想，旅客為什麼使用「外掛」軟件？原因就是在正規網站搶不到票。

追究責任在誰已經太遲

與竊取用戶資訊、銀行帳戶、轉移虛擬財產的黑客鬥智鬥力，直接為大眾提供服務的網站無疑是網路安全的「最終負責者」，有責任進行全面的風險評估，提高用戶安全意識。修正可能導致洩露的因素，遺憾是國內網站一部份仍抱著「可使用就行」的想法。