12月25日,乌云漏洞平台显示,大量12306用户数据在互联网上传播售卖。尽管当晚中国铁路官方就发布消息称,两名犯罪嫌疑人已被抓获,但13万用户信息的泄露还是让人心头一惊。12月26日,反信息诈骗联盟发布《反信息诈骗白皮书》,其中数据显示,仅2013年,中国信息诈骗案件发案30余万起,群众损失100多亿元。用户数据泄露和贩卖,正是这些信息诈骗案件发生的“源头”。
账户名、密码和与之关联的身份证号、银行卡号、住址等核心数据,正在越来越紧密地与消费者口袋里的“真金白银”联系在一起。这些海量数据如何被犯罪分子利用?作为普通消费者、安全企业和政府管理部门,又能做些什么?
用户应有“分级意识”
按照警方的说法,本次12306网站用户数据信息泄露,是犯罪嫌疑人通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息,尝试登录其他网站进行“撞库”,非法获取用户其他信息导致的。所谓“撞库”,其实就是黑客指利用已经泄露的用户信息,批量登录其他网站,从而得到一系列也可以登录的用户。其根本原因在于很多用户在不同网站使用的是相同的账号密码。
不过,被“撞库”的12306同样在安全防范上负有责任。互联网安全厂商360安全总监赵武认为,被黑客“撞库”得手,根本原因是12306的账号安全体系有缺陷,根据补天漏洞平台白帽子发现,12306手机APP登录接口存在漏洞,黑客可轻易绕过其账号安全防护措施,无限次尝试自动登录。“一般情况下,如果出现连续试错密码、大规模登录请求等异常情况,应对访问IP进行一定时间的屏蔽封锁。”
互联网安全厂商瑞星安全专家唐威同样表示,除了对“撞库”缺少应对,瑞星在对12306网站安全监测时还发现,12306主网站下属的南方货物快运服务站、东北货物快运服务站等6个子网站存在Struts2漏洞,利用这个漏洞,入侵者可以获取子网站管理员权限,并可以通过恶意代码控制子网站服务器对主站进行跳板入侵获取信息。“这也折射出很多网站缺乏安全意识,平时的安全防范手段形同虚设。”
由于通过12306账户,黑客不但能看到用户的手机号、身份证号等信息,甚至还能看到用户曾帮助购票的其他人的核心信息,因此如何避免损失,就成了广大用户最关心的问题。事实上,目前各大互联网安全厂商都推出了自己的12306用户泄露信息查询平台,用户只要输入手机号、身份证号或者在12306的注册账户名,就可以看到自己的信息是否在泄露范围。“一旦发现在泄露范围,要尽快重设登录密码,保护信息安全。”唐威表示。
此外,赵武还建议,普通用户应有账户密码分级设定和使用的意识。“对于涉及用户重要隐私的账号,一定要单独设定,不与其他网站账号相一致。防止一个账号密码泄露,影响所有账号安全;对重要账号定期修改密码,每半年或者每个季度至少换一次,保证账号安全;除了银行网站,著名的电子商务网站之外,其他网站都不要提交自己的真实信息;切勿轻信陌生人来电和短信,对信息泄露引发的钓鱼诈骗保持高度警惕。”
企业警方安全共建
从当年的携程、天涯到今天的12306,网民个人信息为何频频泄露?腾讯副总裁罗道锋表示,这是因为信息诈骗已形成整条“黑色产业链”,“有些犯罪分子专门传播病毒和木马,有些专门贩卖信息,甚至连提款和收买赃物都有专门的人来实施”。
《反信息诈骗白皮书》也显示,个人信息泄露导致信息诈骗趋向精准化。个人信息泄露导致诈骗分子掌握了受害人的详细资料,包括姓名、身份证号、电话、消费记录等,这也衍生出各种有故事、有场景的“精准诈骗”,让很多群众防不胜防。比如,网购了某商品后,遭遇淘宝退款诈骗;收到包裹后,接着就遭遇邮包藏毒诈骗;购买机票后,很快遭遇了“航班取消”诈骗等等。“诈骗分子也学会了运用大数据提高‘生产效率’。”罗道锋表示,“诈骗分子会根据购买到的用户个人信息数据进行详细分析,并根据用户信息的特点设计诈骗环节和故事。比如,当诈骗分子发现数据是购买机票的人群,并详细获知航班号、出发时间、姓名后,会编造‘航班取消’或者‘机票改签’的短信群发给这一人群。”
“由此可见,反信息诈骗是一个系统的社会工程。”中国互联网协会秘书长卢卫如是说,他表示,需要全社会行动起来,打通信息障碍,建立一个互联互通的全国信息数据平台,促进信息诈骗全社会防控体系建设。
反信息诈骗联盟首创的“警企民”联合防骗新模式正在打通信息障碍,在促进数据安全共享上进行尝试。联盟开通了反信息诈骗咨询专线,并基于腾讯安全云库建立互联网安全开放平台,将运营的全球最大风险网址数据库、过亿活跃号码库、恶意诈骗银行号码黑名单分享给联盟成员,共同打击信息诈骗。目前,联盟成员已有包括金山、搜狗、京东等互联网厂商,工商银行、建设银行、农业银行、中国银行等金融机构和十余家覆盖全国的商用WiFi厂商参与。
深圳网警支队副支队长薛克勋介绍说:“利用这一模式,一年来已直接劝阻1.84万人避免转款达1.56亿元,为9776名受害人快速拦截被骗资金1.09亿元,避免、挽回损失合计近2.65亿元;‘呼死’涉案诈骗电话51641个、账号25287个,通报运营商关停及技术封堵违法电话5017个;处置违法网站1390个。各机构的通力合作,为反信息诈骗的社会治理提供了一条解决之道。”