【案例分析】网用户信息泄露，孰之过钥

据乌云漏洞平台于2014年12月25日曝料，中国铁路客户服务中心（12306网）大量用户数据在互联网上被疯传贩售，泄露资料包括用户账号、明文密码、身份证、邮箱等敏感信息，目前尚不清楚这些数据是从何途径泄露的。12306官网作出回应，发布公告称网上泄露的用户信息系经其他网站或渠道流出，望用户通过12306官方网站购票不要使用第三方抢票软件购票。随后，12306网站以最高2000元的方式发出悬赏查漏洞。

超过13万的用户信息究竟是通过什么渠道泄露出去的钥根据瑞星互联网攻防实验室研究，信息泄露可能有三条路径：一是12306网站自身出现问题；二是第三方抢票软件或插件出现信息漏洞；三是黑客用“撞库”的方式获取这部分用户信息。

众所周知，12306网站从2011年投入开通购票业务到现在，从开始的春运的大众抢票经常导致系统奔溃到通过扩容改进、错峰订票等措施的开展实现了现在网站的稳定运营，其中所作出的努力是有目共睹的，但是这次大规模的信息泄露难道12306网站就没有过错钥在12306发布悬赏之后，有记录显示，短短3天已经有数名网友提供了十余条漏洞情况。目前累计金额已达到4850元。这个记录从侧面说明了12306网站确实是存在有漏洞。

第三方抢票软件或插件也确实存在安全隐患，因为抢票需要通过第三方软件登陆12306网站账户，可能会使得登录的账户被记录下来，第三方抢票软件或插件出现漏洞时，用户的隐私信息就有可能被泄露出来。而对于火车票的需求量来说，特别是在重大节假日，自铁道部放票开始，乘客的抢票即开始。人口流动大，车票需求多，再加上黄牛党的介入，使用抢票软件购票也成了乘客的无奈之举。

当然，确实存在网络用户个人在多个网站上所使用的账户和密码都相同，其安全警惕性不高的情况。而使得黑客的“撞库”方式得以实现。所谓“撞库”是指黑客通过收集网络上已泄露的用户名及密码等信息，然后到多个网站尝试批量登录，得到一批可以登录的用户账号及密码。12306网站用户“撞库”成功后，涉及的层面比较广，不仅会涉及用户自己的身份证、电话、邮箱等多类隐私信息甚至还有其帮忙购票的亲友的相关信息。

（http://media.people.com.cn/BIG5/n/2014/1226/c40606-26278822.htm l）

【案例解读】

网络用户信息泄露已不是第一次了，但是这次12306网站用户信息泄露却是规模最大的一次。在纠错的同时也要引起各方的高度重视，尤其是网站运营商。作为网络商品经营者、有关服务经营者有采取技术措施和其他必要措施，确保用户信息安全，防止用户信息泄露、丢失的义务；在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。用户个人也要增强信息保护意识，不要在多个网站使用相同的注册账户名以及登录密码，及时查杀病毒，升级病毒库。

【知识链接】

手机淘宝、发红包、订机票，当我们享受着网络给予的便利时，却浑然不知自己的隐私信息正在被非法分子利用。据统计，目前信息安全“黑洞门”已经到了触目惊心的地步，网站攻击与漏洞利用正在向批量化、规模化方向发展，用户隐私和权益遭到侵害，特别是一些重要数据甚至流向他国，不仅是个人和企业，信息安全威胁已经上升至国家安全层面。

补天漏洞响应平台上收录的数据显示，目前该平台已知漏洞就可导致23.6亿条隐私信息泄漏，包括个人隐私信息、账号密码、银行卡信息、商业机密信息等。导致大量数据泄露的最主要来源是：互联网网站、游戏以及录入了大量身份信息的政府系统。根据公开信息，2011年至今，已有11.27亿用户隐私信息被泄漏。

“这个数据意味着，几乎每一个上网的人，自己的信息都可能已经在不知不觉中被窃取甚至利用。”一位网络安全方面的权威人士坦言，这仅仅是冰山一角，更令人担忧的是，实际情况比这一统计数据还要严重。目前越来越多的信息安全泄露都是冲着“钱”去的，下一步，金融、网上支付等将成为重灾区，从目前暴露的信号来看，以芯片、电脑、设备等为载体，甚至一些涉及国家安全的能源、资源、航空等领域都将可能爆发信息安全问题。

据了解，自2011年国内最大的IT技术社区CSDN曝出泄密事件以后，网站被拖库和撞库的事件不断发生。2014年，撞库攻击达到前所未有的高峰期。从补天漏洞响应平台等渠道披露的信息来看，2014年，包括无秘（原秘密）、大众点评网、搜狐、安智网、汽车之家、搜狗、印象笔记等多家国内知名网站都遭到了撞库攻击，导致大量用户的个人信息泄漏。

从12306网站用户信息泄露、携程网站用户信息泄露，到近期江苏省公安厅曝出海康威视监控设备安全隐患事件。种种迹象表明，对于正在大力发展信息经济与互联网经济的中国，网络信息安全保护问题已经迫在眉睫。

“在数据泄露的背后暴露的更多的是网站的安全问题。”补天漏洞响应平台负责人说，网站安全直接关系到大量的隐私信息、商业机密、财产安全等数据，目前用户数据的收集、存储、管理与使用等均缺乏规范，更缺乏监管，主要依靠企业自律。但是对门户网站等电商而言，一方面缺乏网络信息安全保护意识，另一方面也缺少网络信息安全的技能，即使出现了信息泄露问题，往往采取“捂盖子”的方法，只要不曝光就行。

一组数据更加值得警惕。据测算，目前超过37%的国内网站存在漏洞，利用网站漏洞的攻击以近5倍速增长，网站信息泄漏的风险越来越大。2014年前11个月，360网站安全检测平台共扫描各类网站164.2万个，较2013年的91.2万个增加了80.0%。其中，存在安全漏洞的网站为61.7万个，占扫描网站总数的37.6%。其中，存在高危安全漏洞的网站共有27.9万个，占扫描网站总数的17.0%。2014年全年，360网站卫士共拦截各类网站漏洞攻击7.0亿次，较2013年1.21亿次，增长了约4.8倍。

实际上，如果真正重视保护用户的信息安全并进行相应的技术投入等，80%以上的信息安全事故是可以避免或及时弥补的。但实际上，很多企业明明知道有拖库，信息容易被窃取，但只要没有被曝光，仍然是睁一只眼闭一只眼。因此，信息安全立法中，国家除了要加大对网络安全方面人才的培养，更要明确网站安全的责任和相应的处罚机制，只有这样才能真正约束企业行为，使其能够保护用户隐私乃至产业安全和国家安全。

公安部第三研究所所长严明表示，我国建立了对信息和信息载体按照重要等级分级保护的信息安全等级保护制度，但因为缺少法律依据，这个机制并未及时启动并发挥作用。而关于追责措施，有关规定也有，但是并没有量化，存在管理的灰色地带，可以说，这个机制是否有效对于国家安全关系很大，因此需要加快信息安全立法。

360公司董事长兼CEO周鸿祎则建议，重塑信息安全要遵循三个基本原则，即以保护用户隐私和数据安全为前提，明确用户对信息数据的所有权，明确企业对信息数据的保障义务，并保障用户在信息交换和使用时的知情权，是互联时代保护信息安全的基础。

在网络信息安全日益凸显的大背景下，网民对个人信息泄露的问题也更加关注。腾讯与中国人民大学于2015年2月发布的一份报告显示，网民最担心泄露的信息类别是网银信息（53.8%），其次是身份信息（23.7%），再次是网站账户、密码（16%）等。网银主要涉及民众的资金安全，所以担心程度最高。此外，身份信息涉及民众的个人隐私，因此担心程度也较高。

对此，全国人大代表、中国电信湖南公司总经理廖仁斌在两会上呼吁，大数据时代的个人信息安全是一个战略问题。只有重视好信息安全问题，大数据才能成为国家强大的生产力和产业链。为此，他建议加快建设大数据时代个人信息安全保护体系。

建好大数据时代个人信息安全保护体系，提升网络安全形势，除了政府主导和法律保障外，还需要网络安全行业的共同努力。如果网站真正重视保护用户的信息安全并进行相当的技术投入等，80%以上的信息安全事故是可以避免或及时弥补的。

信息社会已经成为一个虚拟社会，跟实体社会一样，需要一个完善的个人信息保护法。推动《个人信息安全保护法》的尽快立法，按照“谁经营、谁负责”的原则，对于政府部门、金融、电信、交通、教育、医疗、中介等单位的个人信息保护作出严格规定，全面保护网络个人信息安全。

借鉴新加坡、香港等国家和地区“重典治乱”的治理经验。对侵害公民个人信息的企事业单位和个人，处以高额的罚款，并记入征信档案，据此依法对其贷款、投资经营、购房等行为进行限制。依法严厉打击泄露、倒卖个人信息的违法行为，增加侵害个人信息安全的违法犯罪成本，增强法律的震慑力，切实做到个人信息“依法获取、依法传播、依法使用”。

加强对个人信息保护的宣传，强化公众的个人信息安全保护意识，避免随意透露个人身份证号、银行卡号、家庭住址等重要信息，积极防范各类信息泄露和欺诈。完善个人信息安全的社会监督体系，健全信息安全举报机制，鼓励新闻媒体、公众对个人信息被非法获取利用的违法行为进行曝光、举报，实行群防群治，形成全社会共同保护个人信息安全的良好氛围。

制定行业规范，针对网络个人信息的管理者（如政府单位、企业或个人），一旦收集了信息，就要建立一套“谁收集谁保护谁泄露谁负责”的信息保护制度。规范对个人信息的收集、储存及使用行为，明确相关的个人信息在使用完毕后应该及时删除；对于泄露个人信息的行为，采取严厉的行业惩罚措施。此外，加强涉及个人信息服务行业的引导，积极推动行业自律。鼓励建立第三方安全评估与监测机制，加强对个人信息接触界面、流转环节和传播渠道的监测和管理。

当前社会，信息网络已是基础设施，就像我们的水、电、煤气一样普通。破解网络个人信息保护难题，切断安全信息泄露已成为全社会共识，它不仅是三大运营商或政府单方面的事情，而是需要社会各方，包括政府、企业、运营商、个人一起来做。