訂車票網站外洩 13 萬用戶資料、事後追究責任是否太遲?
最近網站 12306.cn 使用者資料外洩成為大眾焦點,12306 其實是中國鐵路客戶服務中心的熱線,沿用多年,所以用電話作為網站 Domain 會令人容易聯想到兩者是提供相同服務內容。這個網站由中國鐵道科學研究院主管,可以訂購中國全國火車票,非常方便,但這次洩露事故令人質疑如此大型機構都會犯下這樣的問題?
懸賞找漏洞
繼 2014 年 5 月小米使用者資料庫洩漏,約 800 萬個涵蓋用戶名、密碼、短信、通訊錄等私密內容被公開;今次,12306 網站中招,有內地媒體報導稱,大量 12306 網站使用者資訊遭洩露,已知公開傳播的資料庫涉及的使用者資料超過 13 萬條,鐵路警方迅速拘捕了疑犯。現在 12306 網站最高懸賞 2000 大元,號召網友查找漏洞。
通過懸賞請安全專家和黑客高手出馬,尋找網站存在的安全性漏洞,旨在幫助企業發現並修復漏洞,在一定程度上有助提升安全防護水準。問題是,安全專業和民間高人能否早過那些專門竊取資料的不法分子?互聯網使用者資料已成為一條規模巨大的地下黑色產業鏈,估計規模在百億元左右,且組織分工仔細,有人負責偷取,有人販賣,有人利用資料推銷詐騙,甚至直接在網上盜取他人錢財。為什麼網站總是在出事後才全力找漏洞,而黑客卻每日在找你的漏洞?
沒有絕對的安全
網站的安全是不可信任的,無論是國內的還是國外的,網站負責人只能儘量控制資訊的源頭。近年來,互聯網使用者資料庫洩露事件越來越頻密、越來越嚴重倒是不假。
網站不可能不受黑客攻擊,尤其是一些擁有大量市民個人資料的大型網站,因此網站帳號安全顯得尤為重要。如果帳號安全措施做得足夠,黑客在嘗試攻擊時,網站就能及時發現並阻斷,不讓黑客容易得逞。資料外洩說明網站的安全漏洞被黑客成功借用。即使 12306.cn 不斷提醒旅客不要使用「外掛」軟件購票或委託他人代購,然而這種提醒倒像在說「錯不在我」似的,
但官方卻沒有想想,旅客為什麼使用「外掛」軟件?原因就是在正規網站搶不到票。
追究責任在誰已經太遲
與竊取用戶資訊、銀行帳戶、轉移虛擬財產的黑客鬥智鬥力,直接為大眾提供服務的網站無疑是網路安全的「最終負責者」,有責任進行全面的風險評估,提高用戶安全意識。修正可能導致洩露的因素,遺憾是國內網站一部份仍抱著「可使用就行」的想法。