观察 要闻 正文

12306用户信息泄露背后的黑色产业链(3)

为什么会有这么大的漏洞?

不过,邬迪称,“此事目前还无法下定论。”

在12306网站在发布上述提示公告时,还特别提醒旅客不要使用第三方抢票软件购票。这使得外界怀疑,此次泄露事件由第三方抢票软件而起。

一位长期研究刷票软件的人员告诉21世纪经济报道,目前抢票软件发展速度极快,但并不存在十分清晰的盈利模式,因此从第三方软件中泄露数据的可能性也依然存在。

一位从事软件程序开发的技术人员告诉21世纪经济报道记者,这类抢票软件的技术要求一般不高,如果第三方没有严格的保护措施,用户信息就存在不安全的隐患。

对于此,360公司相关人员书面回应称,360抢票王基于360安全浏览器,360安全浏览器的上网安全技术和措施都可以保障抢票王的安全。他们认为,此次12306数据泄露事件与抢票软件无关。

互联网安全专家更关心的是,如果真是撞库造成的泄露,12306网站为什么会留下这么大的漏洞?

“如果这次撞库发生在Google、微软身上,不可能成功。因为成熟的网站都会在登陆服务器时设置二次验证程序。国内很多网站为了节省成本,并没有设置这一道程序。”猎豹移动安全专家李铁军对21世纪经济报道说。但是,目前并不清楚,此次漏洞是否与验证程序设置有关。

据一位对乌云网比较了解的专业人士称,12306网站从2012年2月开始,在乌云网上被披露的漏洞接近50个,其中涉及用户资料泄漏和敏感信息泄露的漏洞占7%,而还有44%的漏洞可间接导致信息泄漏,例如命令执行漏洞和SQL注射漏洞。

而这些被监测到的漏洞都持续了很长时间。这位专业人士称,他们也不明白为什么这些漏洞一直没有被补救。

360安全专家安扬也认为,12306网站被撞库,说明12306账号安全体系仍需要进一步完善,尽可能及时发现并阻断黑客撞库攻击。

据21世纪经济报道此前的报道,12306网站由铁科院开发,铁科院是原铁道部下属的单位。

一位从事高铁安全行业的人士对21世纪经济报道记者称,其实早在之前,铁科院内部已经发现这一问题,但至今尚未完全解决,直到如今东窗事发。

上一页12345下一页