電商中心評(píng)13萬12306用戶信息外泄事件

2014/12/31 09:26     

電商中心評(píng)13萬12306用戶信息外泄事件

                                             ——中國電子商務(wù)研究中心

一、事件概述:

12月25日上午,漏洞報(bào)告平臺(tái)烏云網(wǎng)出現(xiàn)了一則關(guān)于中國鐵路購票網(wǎng)站12306的漏洞報(bào)告,危害等級(jí)顯示為“高”,漏洞類型則是“用戶資料大量泄漏”。

據(jù)了解,這則關(guān)于12306的漏洞報(bào)告,危害登記顯示為“高”,漏洞類型則是“用戶資料大量泄漏”,這意味著,這個(gè)漏洞將有可能導(dǎo)致所有注冊(cè)了12306用戶的賬號(hào)、明文密碼、身份證、郵箱等敏感信息泄露。

瑞星公司針對(duì)12306網(wǎng)站約用戶隱私被泄露事件進(jìn)行調(diào)查后發(fā)現(xiàn),12306網(wǎng)站主域名下共有6個(gè)分站存在嚴(yán)重的Strust2框架的遠(yuǎn)程執(zhí)行漏洞。

同日,犯罪嫌疑人蔣某某、施某某被抓獲。經(jīng)過警方初步審查,兩人交代是通過收集互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個(gè)網(wǎng)站泄露的用戶名加密碼信息,嘗試登錄其他網(wǎng)站進(jìn)行“撞庫”,非法獲取用戶的其他信息,并牟取非法利益。

在12306網(wǎng)站數(shù)據(jù)庫泄露之后,網(wǎng)站加入了補(bǔ)天漏洞響應(yīng)平臺(tái),并且主管方中國鐵道科學(xué)研究院?jiǎn)未巫罡邞屹p2000元,號(hào)召網(wǎng)友查找漏洞。截至29日,已經(jīng)有20多位網(wǎng)友提交了漏洞報(bào)告,根據(jù)發(fā)現(xiàn)漏洞的高低程度,有9位網(wǎng)友獲得50元到2000元不等的懸賞金額,累計(jì)獲得懸賞金額達(dá)4850元。

二、相關(guān)法律/法規(guī)

 ——全國人大常委會(huì)2012年28日表決通過了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》,明確規(guī)定:

任何組織和個(gè)人不得竊取或者以其他非法方式獲取公民個(gè)人電子信息,不得出售或者非法向他人提供公民個(gè)人電子信息。

公民發(fā)現(xiàn)泄露個(gè)人身份、散布個(gè)人隱私等侵害其合法權(quán)益的網(wǎng)絡(luò)信息,或者受到商業(yè)性電子信息侵?jǐn)_的,有權(quán)要求網(wǎng)絡(luò)服務(wù)提供者刪除有關(guān)信息或者采取其他必要措施予以制止。

網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位及其工作人員對(duì)在業(yè)務(wù)活動(dòng)中收集的公民個(gè)人電子信息必須嚴(yán)格保密,不得泄露、篡改、毀損,不得出售或者非法向他人提供。

 ——《網(wǎng)絡(luò)交易管理辦法》第十八條規(guī)定:

網(wǎng)絡(luò)商品經(jīng)營(yíng)者、有關(guān)服務(wù)經(jīng)營(yíng)者在經(jīng)營(yíng)活動(dòng)中收集、使用消費(fèi)者或者經(jīng)營(yíng)者信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。網(wǎng)絡(luò)商品經(jīng)營(yíng)者、有關(guān)服務(wù)經(jīng)營(yíng)者收集、使用消費(fèi)者或者經(jīng)營(yíng)者信息,應(yīng)當(dāng)公開其收集、使用規(guī)則,不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。

網(wǎng)絡(luò)商品經(jīng)營(yíng)者、有關(guān)服務(wù)經(jīng)營(yíng)者及其工作人員對(duì)收集的消費(fèi)者個(gè)人信息或者經(jīng)營(yíng)者商業(yè)秘密的數(shù)據(jù)信息必須嚴(yán)格保密,不得泄露、出售或者非法向他人提供。網(wǎng)絡(luò)商品經(jīng)營(yíng)者、有關(guān)服務(wù)經(jīng)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保信息安全,防止信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施。

三、專家觀點(diǎn):

對(duì)此,中國電子商務(wù)研究中心特約研究員、廣州金鵬律師事務(wù)所合伙人詹朝霞律師認(rèn)為:

  ——違法成本低,法律監(jiān)管缺失是“泄密”事件再三出現(xiàn)的根源!

從法律層面來看,各類服務(wù)提供商,基于提供服務(wù)所采集的用戶信息數(shù)據(jù),具有嚴(yán)格保密的法律義務(wù),類似的規(guī)定散見于國家工商總局發(fā)布的《網(wǎng)絡(luò)交易管理辦法》、《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》等相關(guān)法律法規(guī)規(guī)章中,雖然規(guī)定不少,但相關(guān)規(guī)定中卻沒有設(shè)置任何對(duì)應(yīng)的處罰措施,違法成本極低。

在日益繁雜多變的網(wǎng)絡(luò)交易中,服務(wù)商們忙于應(yīng)付各種生意,對(duì)于用戶信息保密僅僅是基于商業(yè)道德或品牌榮譽(yù)的角度,其實(shí)施力度可想而知??梢院敛豢鋸埖卣f,法律監(jiān)管的缺失是類似事件一而再再而三爆發(fā)的根本。行政主管部門,比如工商局、銀監(jiān)會(huì)、證監(jiān)會(huì)、通管局等相關(guān)部門應(yīng)該形成聯(lián)動(dòng)機(jī)制,對(duì)泄露用戶信息的行為甚至是“出賣”用戶信息的行為進(jìn)行狠狠打擊,還消費(fèi)者以安全,還消費(fèi)者以放心。

對(duì)此,中國電子商務(wù)研究中心特約研究員、浙江澤大律師事務(wù)所付勇勇律師認(rèn)為:

  ——因商家過失導(dǎo)致消費(fèi)者經(jīng)濟(jì)損失的理應(yīng)賠償!

根據(jù)《消費(fèi)者權(quán)益保護(hù)法》的規(guī)定,經(jīng)營(yíng)者及其工作人員對(duì)收集的消費(fèi)者個(gè)人信息必須嚴(yán)格保密,不得泄露、出售或者非法向他人提供。經(jīng)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保信息安全,防止消費(fèi)者個(gè)人信息泄露、丟失。

在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施。另外,《網(wǎng)絡(luò)交易管理辦法》也有相同的規(guī)定。如果由于經(jīng)營(yíng)者的過失,導(dǎo)致消費(fèi)者經(jīng)濟(jì)損失的,理應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任。

對(duì)此,中國電子商務(wù)研究中心特約研究員、北京志霖律師事務(wù)所趙占領(lǐng)認(rèn)為:

  ——網(wǎng)站泄露用戶數(shù)據(jù)的保障法律仍是空白!

目前關(guān)于泄露用戶數(shù)據(jù)的安全保障法律仍是空白的,此前工信部直屬的中國軟件測(cè)評(píng)中心透露,《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》已正式通過評(píng)審,正報(bào)批國家標(biāo)準(zhǔn)。

但是,有業(yè)內(nèi)人士擔(dān)心,指南不是強(qiáng)制性標(biāo)準(zhǔn),甚至也不是推薦性標(biāo)準(zhǔn),其執(zhí)行效力如何,仍待觀察。

四、相關(guān)案例

  支付寶賬戶交易信息泄露

2013年3月27日,有網(wǎng)友在微博上曝出,使用谷歌搜索輸入“site:shenghuo.alipay.com轉(zhuǎn)賬付款”即可看到各種轉(zhuǎn)賬信息,包括轉(zhuǎn)賬付款姓名、賬戶信息、付款金額、付款賬戶、付款說明等,數(shù)量超過2000條。很多網(wǎng)友擔(dān)心自己的信息和資金安全,表示“再也不通過支付寶轉(zhuǎn)賬了”。

對(duì)此,支付寶迅速在其官方微博在回應(yīng)中稱,支付寶生活助手轉(zhuǎn)賬付款結(jié)果頁面一般用于支付雙方展示支付結(jié)果,不含真實(shí)姓名、密碼等重要信息,支付寶對(duì)這一頁面鏈接加具了安全保護(hù),正常情況下任何搜索引擎都無法抓取。目前已將用戶付款結(jié)果頁面做部分信息隱藏,進(jìn)一步幫助用戶保護(hù)個(gè)人隱私信息。“一般”和“正常情況”的表述方式也表現(xiàn)了支付寶的態(tài)度。中國電子商務(wù)研究中心發(fā)布的專題《攜程被曝存"支付漏洞"引發(fā)互聯(lián)網(wǎng)安全問題》對(duì)此次事件進(jìn)行了詳細(xì)報(bào)道。

攜程用戶信息“泄密門”

2014年3月22日,國內(nèi)網(wǎng)絡(luò)安全問題反饋平臺(tái)—烏云漏洞平臺(tái)發(fā)布消息稱,攜程系統(tǒng)存技術(shù)漏洞,可導(dǎo)致用戶個(gè)人信息、銀行卡信息等泄露;漏洞泄露信息包括用戶姓名、身份證號(hào)、銀行卡類別、銀行卡卡號(hào)、銀行卡CVV碼(卡號(hào)、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)等,上述信息可能被黑客讀取。

23日,攜程發(fā)布聲明稱,就攜程存漏洞一事,目前確認(rèn)共93人賬戶存安全風(fēng)險(xiǎn),并已通知相關(guān)用戶更換信用卡,并在其官方微博上表示,將給予這93名用戶每人500元任我行禮品卡作為補(bǔ)償。

五、專家建議

  那么,如何防止個(gè)人信息被泄露呢?對(duì)此,中國電子商務(wù)研究中心助理分析師沈云云給出了建議:

  ——網(wǎng)站用戶信息泄露有多種可能性途徑

現(xiàn)在許多網(wǎng)站、論壇都需要用戶注冊(cè)賬號(hào)后才能正常使用。因此,每個(gè)網(wǎng)民擁有多個(gè)賬號(hào)是很平常的事情。在注冊(cè)時(shí),網(wǎng)站一般都需要填寫一些個(gè)人信息,如常見的賬號(hào)、密碼、郵箱等,像一些電子商務(wù)、婚戀、交友網(wǎng)站等還需要實(shí)名認(rèn)證,要求填寫的信息更加詳細(xì)。

網(wǎng)站上的用戶數(shù)據(jù)泄露主要有以下幾種方式:黑客利用網(wǎng)站存在的安全漏洞入侵網(wǎng)站,盜取用戶數(shù)據(jù)庫;網(wǎng)站內(nèi)部工作人員倒賣用戶信息;通過撞庫攻擊,竊取用戶數(shù)據(jù);利用釣魚攻擊竊取用戶信息;通過木馬、病毒竊取用戶隱私信息。

——法律條文需細(xì)化,相關(guān)部門應(yīng)適時(shí)介入

我國關(guān)于網(wǎng)絡(luò)信息安全方面的法律條文不夠明確,適用范圍尚且不夠精準(zhǔn),相關(guān)條文必須得到進(jìn)一步細(xì)化、規(guī)范,以此更加公平公正地懲治網(wǎng)絡(luò)信息安全事故的造成者,保護(hù)公民切身利益。

此類信息泄露事件不適用“不告不處理的”的原則,相反,執(zhí)法部門應(yīng)主動(dòng)積極介入案件調(diào)查,并對(duì)實(shí)施者進(jìn)行追責(zé)處理。

——信息安全無小事,用戶必須增強(qiáng)信息保護(hù)意識(shí)

警惕要求重新輸入賬號(hào)信息,否則將停掉信用卡賬號(hào)之類的郵件,不要回復(fù)或者點(diǎn)擊郵件的鏈接,以免落入圈套。同時(shí),避免開啟來路不明的電子郵件及文件,安裝殺毒軟件并及時(shí)升級(jí)病毒知識(shí)庫和操作系統(tǒng)補(bǔ)丁,將敏感信息輸入隱私保護(hù),打開個(gè)人防火墻。

使用網(wǎng)絡(luò)銀行時(shí),選擇使用網(wǎng)絡(luò)憑證及約定賬戶方式進(jìn)行轉(zhuǎn)賬交易,不要在網(wǎng)吧、公用計(jì)算機(jī)上和不明的地下網(wǎng)站做在線交易或轉(zhuǎn)賬。

不要在多個(gè)網(wǎng)站使用相同的注冊(cè)賬戶名以及登錄密碼,防止網(wǎng)絡(luò)黑客有意盜取,造成多個(gè)網(wǎng)站個(gè)人信息的連環(huán)失竊。

針對(duì)信息泄露案、網(wǎng)絡(luò)打假、網(wǎng)店征稅等電子商務(wù)相關(guān)的法律問題,中國電子商務(wù)研究中心發(fā)布《2013-2014年度中國電子商務(wù)法律報(bào)告》進(jìn)行了詳細(xì)的解讀。

相關(guān)閱讀