近日發(fā)生的用戶信息泄露事件，已不是12306網(wǎng)站第一次發(fā)生類似事件了，但卻是最大的一次。近日，12306網(wǎng)站發(fā)布公告稱，經(jīng)認(rèn)真核查，此次泄露的信息全部含有用戶的明文密碼。12306網(wǎng)站數(shù)據(jù)庫所有用戶密碼均為多次加密的非明文轉(zhuǎn)換碼，網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出。目前，相關(guān)犯罪嫌疑人已經(jīng)被公安機關(guān)控制。

　　泄露原因何在？

　　烏云網(wǎng)創(chuàng)始人鄔迪告訴記者，12月25日10時59分，在事件發(fā)生后，烏云網(wǎng)立刻進(jìn)行了核查，在確認(rèn)該消息的真實可靠性后對此事進(jìn)行了發(fā)布。

　　不久后12306就在第一時間知道了此消息，并與烏云網(wǎng)取得聯(lián)系，表示會認(rèn)真調(diào)查此事，并在日后發(fā)布公告。

　　14時15分，烏云網(wǎng)通過新浪微博發(fā)布消息稱，數(shù)據(jù)疑似黑客撞庫后整理得到，而并非12306直接泄漏，請用戶及時修改密碼，同時慎用搶票工具。

　　針對此次泄露事件的原因，360互聯(lián)網(wǎng)安全中心的安全研究人員在非?？隙ǖ匾詴娣绞交卮鸩稍L函時表示，“此次12306網(wǎng)站信息泄露是被黑客撞庫造成的”。

　　其理由是，經(jīng)過他們的安全研究人員調(diào)查發(fā)現(xiàn)：第一，幾乎所有13萬條12306賬號密碼，都可以在此前多家游戲網(wǎng)站泄露的密碼庫中匹配到相應(yīng)的記錄。這說明黑客用多家游戲網(wǎng)站的密碼庫對12306發(fā)動“撞庫”攻擊，篩選出13萬余條使用相同賬號密碼的用戶數(shù)據(jù)。第二，通過對12306泄露數(shù)據(jù)中的相關(guān)用戶進(jìn)行抽樣調(diào)查，超過半數(shù)沒有使用任何搶票軟件，其余則是使用不同的搶票軟件。

　　目前，除撞庫外，拖庫、洗庫亦成為一個非常成熟的形成利益過程。

　　互聯(lián)網(wǎng)黑市里的產(chǎn)業(yè)鏈

　　鄔迪稱，所謂“撞庫”就是黑客通過收集網(wǎng)絡(luò)上已泄露的用戶名及密碼信息，生成對應(yīng)的“字典表”，到其他網(wǎng)站嘗試批量登錄，得到一批可以登錄的用戶賬號及密碼。

　　登錄用戶的后臺后，可能存在郵箱、手機號碼、身份證號碼被泄露以及賬務(wù)積分和賬戶余額流失等多種風(fēng)險。

　　“如果用戶及時修改原始密碼就可以規(guī)避撞庫風(fēng)險?！编w迪說，“但這并不等于自己的信息就完全安全了”。

　　鄔迪告訴記者，除了撞庫外，還有另一種方式叫做“拖庫”。黑客通過技術(shù)手段直接下載某平臺的全部數(shù)據(jù)庫?！暗敬?2306泄露可以排除拖庫的可能性”。

　　在業(yè)內(nèi)人士看來，“拖庫”是指入侵有價值的網(wǎng)絡(luò)站點，把數(shù)據(jù)庫全部盜走的行為。盜取數(shù)據(jù)后，黑客會通過一系列的技術(shù)手段清洗數(shù)據(jù)，并在黑市上將有價值的用戶數(shù)據(jù)變現(xiàn)交易，此為“洗庫”。最后，黑客將得到的數(shù)據(jù)在其他網(wǎng)站上進(jìn)行嘗試登錄，叫做“撞庫”。

　　浪潮電子信息安全事業(yè)部副總經(jīng)理蔡一兵表示：“在互聯(lián)網(wǎng)的黑市里有一個非常成熟的產(chǎn)業(yè)鏈，有一個非常成熟的形成利益過程：即拖庫、洗庫和撞庫?！?/p>

　　為什么會有這么大的漏洞？

　　不過，鄔迪稱：“此事目前還無法下定論?！?/p>

　　12306網(wǎng)站在發(fā)布上述提示公告時，還特別提醒旅客不要使用第三方搶票軟件購票。這使得外界懷疑，此次泄露事件由第三方搶票軟件而起。一位長期研究刷票軟件的人員告訴記者，目前搶票軟件發(fā)展速度極快，但并不存在十分清晰的盈利模式，因此從第三方軟件中泄露數(shù)據(jù)的可能性依然存在。

　　不過，讓互聯(lián)網(wǎng)安全專家更關(guān)心的是，如果真是撞庫造成的泄露，12306網(wǎng)站為什么會留下這么大的漏洞？

　　“如果這次撞庫發(fā)生在Google、微軟身上，不可能成功。因為成熟的網(wǎng)站都會在登錄服務(wù)器時設(shè)置二次驗證程序。國內(nèi)很多網(wǎng)站為了節(jié)省成本，并沒有設(shè)置這一道程序?！?獵豹移動安全專家李鐵軍表示。但是，目前并不清楚，此次漏洞是否與驗證程序設(shè)置有關(guān)。

　　一位對烏云網(wǎng)比較了解的專業(yè)人士稱，12306網(wǎng)站從2012年2月開始，在烏云網(wǎng)上被披露的漏洞接近50個，其中涉及用戶資料泄漏和敏感信息泄露的漏洞占7%，而還有44%的漏洞可間接導(dǎo)致信息泄漏，例如命令執(zhí)行漏洞和SQL注射漏洞。

　　360安全專家安揚也認(rèn)為，12306網(wǎng)站被撞庫，說明12306賬號安全體系仍需要進(jìn)一步完善，以便及時發(fā)現(xiàn)并阻斷黑客撞庫攻擊。

　　侵權(quán)責(zé)任如何劃分？

　　2012年12月28日，全國人大常委會通過《關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》后，網(wǎng)絡(luò)個人信息保護(hù)有了法律依據(jù)。今年3月15日施行的新《消費者權(quán)益保護(hù)法》也增加了保護(hù)消費者個人信息的規(guī)定。

　　最新的司法依據(jù)是10月9日由最高法院公布的《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》，其中首次列舉了個人隱私的范圍。

　　“泄露個人信息者一定要承擔(dān)相應(yīng)的侵權(quán)責(zé)任，問題是誰來承擔(dān)。”中國政法大學(xué)傳播研究中心研究員朱巍告訴記者。

　　“如果是12306泄露，要區(qū)分為故意泄露還是過失泄露，故意泄露毫無疑問要承擔(dān)侵權(quán)責(zé)任?！敝煳≌f，“在國外，故意泄露還可以區(qū)分為出于商業(yè)目的還是非商業(yè)目的，如果是商業(yè)目的要加大處分力度，但國內(nèi)司法沒有這樣的區(qū)分?！?/p>

　　如果12306是出于過失導(dǎo)致信息泄露，司法實踐中會采用過錯推定原則確定侵權(quán)責(zé)任，“即先推定12306存在過錯，然后由12306舉證，證明自己盡到了安保責(zé)任?！敝煳≌f。

　　朱巍認(rèn)為，如果存在12306作為開放平臺，通過開放端口與第三方平臺進(jìn)行授權(quán)合作的情況，即使信息是經(jīng)第三方泄露，12306也應(yīng)承擔(dān)連帶責(zé)任。