世界超市世界超市

赵占领:网站泄露用户数据的保障法律仍是空白

摘要:日前,中国电子商务研究中心特约研究员、北京志霖律师事务所赵占领在接受《羊城晚报》记者采访时表示,目前关于泄露用户数据的安全保障法律仍是空白的,此前工信部直属的中国软件测评中心透露,《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。但是,有业内人士担心,指南不是强制性标准,甚至也不是推荐性标准,其执行效力如何,仍待观察。以下为该报道原文全文:《12306网站13万用户信息遭泄露赶快改密码》又有大量用户个人信息被泄露了,这次涉及到了12306网站。25日,第三方漏洞报告平台乌云曝出12306网站现用户数据泄露漏洞,大量用户数据在互联网遭疯传,包括用户账号、明文密码、身份证、邮箱等。有消息称,此次遭泄露的账户数约13万。据12306官方网站消息,公安机关已经介入调查。据分析,本次泄露事件很可能与网民使用的抢票软件或购票网站安全性有关,具体原因还在进一步核实中。瑞星安全专家建议,网民应修改登录密码及QQ、微信、邮箱等关键应用的信息,将可能产生的损失降到最低。是谁泄露用户信息?针对此次泄露事件,12306官方回应称,12306数据库中的所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。提醒旅客通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票。同时,12306官方网站还表示,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请广大旅客注意。涉及抢票的网站也纷纷撇清关系。360公司回应称,360浏览器抢票软件具有业界最严格的安全防护机制,从没有发生数据泄露情况。猎豹安全专家李铁军表示,猎豹移动通过对网上公开传播的13万条用户数据分析,此次事件与猎豹移动没有关系。猎豹移动既不存在保存用户数据行为,也从未推出必须使用明文密码的离线抢票功能。信息为什么被偷走?值得关注的是,此次泄露的信息大部分是明文密码,即泄露信息里清晰显示用户的账户密码、姓名、身份证号。瑞星安全专家指出,拿到明文密码就能登录别人的12306后台,实现所有功能。有相关分析称,除了12306网站自身漏洞,近年来大量出现的第三方抢票平台也成为用户数据泄露的可能途径。专家介绍,第三方平台为了让购票更迅捷,运行时可能省去了一些步骤。而这些软件大多未经安全检测,安全性难以保障。猎豹安全专家李铁军对羊城晚报记者表示,导致此次12306网站用户数据泄露有可能是以下几种原因:一可能是第三方抢票软件存储了12306的数据,被黑客入侵后导致用户密码被盗;二或是因为黑客通过其他已泄露的邮箱数据库,进行撞库攻击(就是用相同的用户名密码去尝试登录12306网站),会导致更多个人信息因此被盗。瑞星安全专家介绍,此次泄露的用户信息约有13万条,但很可能只是冰山一角,近期不排除有更多用户信息还将遭受泄露或黑市买卖。买数据用来做什么?那到底是谁在窃取这些数据,这些数据对这些别有用心的人有什么用处呢?羊城晚报记者通过采访发现,黑客通过技术谋取利益已经形成了一条黑色地下产业链。这个产业链一年收入可以高达上百亿元。瑞星安全专家唐威告诉羊城晚报记者,如今最受青睐的是电商的用户信息,因为这里包括了用户的地址、电话、银行账号、消费信息等最能变现的资料。据记者了解,这个产业链分成了几个群体,共同支撑起这个黑客帝国。首先是卖方,有些是技术人员和销售人员,有些是工具制造者,他们比较容易近距离接触到用户的信息,但不会直接兜售。唐威介绍说,卖方拿到数据后并不会细分挖掘,而是直接抛给下游。接手的中间商会将信息归类筛选,有些派发给房地产中介,有些给广告公司。有业内人士透露,一级中间商的产品也并非直接卖给买方,一般是经过至少三个中间商再倒手,以逃避法律风险。最后接盘的是买方,有些买方还会专门定制用户信息,比如说哪个区域的白领,哪个区域的某电商用户。有安全领域人士透露:一般按照文件大小来销售,打包的文件大部分是上百兆有上千条信息,一般是几万元。但若是电商用户的信息,甚至会按条数来卖,这个最值钱。据悉,一个打包产品甚至可以叫价上百万元。信息被盗谁担责?用户账户密码频遭泄露,责任究竟该由谁来承担?目前司法实践中,如果用户仅以密码被泄露、侵害隐私权索赔的话,因举证不易、金额较小等原因难以得到赔偿。IT法律专家赵占领表示,目前关于泄露用户数据的安全保障法律仍是空白的,此前工信部直属的中国软件测评中心透露,《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。但是,有业内人士担心,指南不是强制性标准,甚至也不是推荐性标准,其执行效力如何,仍待观察。网友评论问题来了:官网能抢到票吗?No-PingWest:12306网站大量用户密码外泄,所以有空去改个密码吧。是不是被各种密码折腾得心力交瘁?提供个改密码思路:cptbtptp,意思是吃葡萄不吐葡萄皮。你有什么好创意?自干七:明文密码,一看就是抢票软件泄露的。12306峰值访问量超淘宝双11十倍,是世界上技术方面最强大的网站(用户体验稍差而已),没有之一。相信这种级别的网站对个人信息不加密的人都是逗逼。Mr司梦实:网传共有三个版本的库,目前只看到了14M的大概有13w多条,从数据格式来看撞库的可能性比较大。不过,从12306网站的安全性来看,也不排除被脱裤的可能性。蓝莓-No1:打击第三方抢票软件,那么问题来了,官网能抢到票吗?12306用户数据泄露赶紧修改密码至少涉及13万用户,专家称极可能是黑客所为,警方介入昨日,国内知名第三方漏洞报告平台乌云曝出12306网站用户数据泄露,大量用户数据在互联网疯传,包括用户账号、明文密码、身份证号等。随后有网友在微博上爆料,已订好的火车票遭到了恶意退票。目前,公安机关已介入调查。有安全专家提醒12306用户注意修改密码,避免订到的火车票被恶意退票。如有其他重要账号使用了相同的注册邮箱和密码,应一并修改。

上一条:【APP案例】达令App:1年聚集1000万用户背后的运营故事

相关推荐