微12306泄密之慌

  　　12306泄密事件,依旧在发酵。12月25日上午10:59,乌云网发布漏洞报告称,一份包含13万12306网站用户的账号、明文密码、身份证、邮箱、手机号等敏感信息的文件,正在网络上疯狂传播。

　　正值春运购票的关键时刻,这则消息引发了不小的恐慌。不少网友迅速登录12306网站修改密码,以防自己的个人信息被不法人员盗用牟利。还有人则担心,自己辛辛苦苦订好的火车票,会被别人恶意退票。随后,12306官方发表公告称,12306网站数据库所有用户密码均为非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。

　　公告一出,第三方抢票软件被推至“风口浪尖”。当天下午,有抢票功能的@猎豹浏览器发布微博称,“猎豹浏览器没有开发过任何需要用户提交个人资料信息的云抢票或者离线抢票功能……猎豹浏览器现在不会,以后也不会上传或要求用户提交个人信息资料,请大家放心。”

　　当晚,新华社对外部官方微博@中国独家报道称,“360浏览器抢票软件向新华社记者回应,此事与360无任何关系。”其后,@百度卫士回应,百度卫士抢票宝本身是一款安全软件,用户的关键数据都保存在用户的电脑中,并不具备云同步功能,因此不会出现相关信息的泄露问题。

　　各方都急于撇清泄密事件的责任,“撞库”成为泄密原因的流行说法。所谓“撞库”,简单来说就是用户在不同网站使用同一密码,被黑客窃取后到12306网站进行验证和窃取。对于这种解释,很多人表示不解——如果真是“撞库”造成的泄露,12306网站为什么会留下这么大的漏洞?

　　12月26日,@中国铁路发布微博称,铁路公安机关已将涉嫌窃取并泄露他人电子信息的犯罪嫌疑人抓获。对于泄密事件的关键问题,没有正面回应。据@新京报称,12306网站已于27日加入全球最大的漏洞响应平台,开始漏洞修复。网站主管方中国铁道科学研究院则最高悬赏2000元,号召网友查找漏洞。

　　尽管12306网站的危机应对做得很好,但@中国之声新闻纵横依旧要追问:“泄密者被抓,12306的责任可以撇清吗?网友们在焦急抢票的同时,也在围观坐等结果。既然我们只有这一个网上购票渠道,希望它能最大程度地保证安全。”

　　@丁金坤律师则从法律的角度,对泄密事件的责任进行了分析:黑客是第一责任人,既要承担刑事责任,也要承担民事责任。但黑客承担责任并不能免除12306的赔偿责任,因为用户与12306是合同关系,12306的技术没有到位。因此,这是可归责的违约,12306自然要承担责任。承担责任的难点是损失难以计算,建议以后民法增设类似知识产权纠纷的法定赔偿制度。

　　责任如何界定的问题,牵出了网友对类似事故的讨论。网友@开豆欣称,12306网站已经不是第一次被曝出信息安全问题。此前12306网站多次被曝存在漏洞,影响最大的一次是2013年12月6日——新版中国铁路客户服务中心12306网站上线仅几个小时后,就被指存在漏洞,可能导致用户信息泄露。

　　梳理过往的类似事件,人们又想起新版12306网站上线时,@清华大学清新时报微博推出的一条“零点微评”——访问量固然增加网站压力,但这不是无视错漏回避责任的借口。若在垄断体制下售票系统无法实现自我完善,则公共资源配置市场化或为良策。

　　于是,@乌云—漏洞报告平台希望,官方调查最后即使不便公开受影响用户量,也至少能给涉及此事的用户一个提醒或强制的密码变更,他们才是最大的受害者需要保护。最后,如果官方确实存在一个可以“撞库”的账号接口漏洞,也希望告知是否发现并且进行了处理,别还可以继续“撞库”盗窃用户数据。

　　不过也有分析认为,12306泄密事件所带来的后果,可能没有人们想象的那样严重。昨日@新浪科技更新微博认为,这只是一场被高估的恐慌。@新浪科技抽查访问了80位有效用户,发现名单泄露的密码并不是他们最新的密码,被泄露的数据库可能不是最新的。

　　但@新浪科技也提到,此次泄密事件让第三方抢票软件纷纷躺枪,“也许会引发对第三方插件和网站的新一轮监管”。一直以来,第三方的火车购票服务就存在争议,未来究竟会怎样?一切还不得而知。但社会各界的基本的共识是,无论是12306网站还是第三方购票软件,都应该充分保障用户信息安全。

责编：孙童心