在中国铁路客户服务中心官方售票网站12306被曝用户个人信息遭泄密后,为其“捉虫”(找漏洞)正成为一项有利可图的“运动”。
12306是中国铁路客户服务中心官方网站,也是中国内地唯一的官方火车票售票网站。12月25日,12306网站被曝出高危漏洞,大量用户个人信息遭泄露。当日晚,铁路公安机关抓获涉嫌窃取并泄露他人电子信息的犯罪嫌疑人。
据媒体援引互联网安全公司“奇虎360”方面的数据,此次12306网站受泄密影响的用户约14万人次,用户账号密码、手机、身份证号、邮箱等私密信息遭出卖。
12306网站日前在“补天”漏洞响应平台正式发布奖金,对于发现漏洞的用户,最高给予2000元人民币现金奖励。
南昌网友“不可复制的我”28日在“补天”漏洞响应平台成功提交一个高危漏洞,并获得了500元奖励。他向中新社记者表示,自己不用抢票软件,因此并没有受到上述事件影响,提交漏洞完全是“去看看而已”。
记者29日午间浏览“补天”平台发现,有26个漏洞被提交,已有10人次获得12306网站奖励,金额从50元到1000元不等,其中有3个漏洞已经得到修复。
近两年来,12306网站已多次被曝出重大漏洞。2013年底,2014年春运火车票发售首日,12306即出现串号漏洞,部分网友反映登录后可看见其他用户的个人资料。2014年1月,又有媒体报道称自动生成假身份证号配合假名可成功注册12306账号的漏洞。
奇虎360公司企业沟通部相关人士向记者表示,此次12306网站之所以被黑客“撞库”(黑客利用已泄露的账号密码登录其他网站)得手,根本原因是其账号安全体系存在缺陷。此前网上流传的13万余条12306用户密码都是由黑客“撞库”获取。
“如此巨大的登录请求数量,12306都没有及时发现并进行屏蔽。”该人士称,已将12306手机APP漏洞通报中国铁路客户服务中心进行修复,而12306网站数据泄露引发的安全危机“仍在持续发酵”。