个人信息泄露之殇何时止（3）

使用这些网站的你有风险吗？

多家第三方网站回应泄密

百度

百度卫士抢票宝相关负责人表示，百度卫士抢票宝本身就是一款安全软件，用户的关键数据都是保存在本地，也就是用户的电脑中，并不具备云同步功能，因此并不会出现用户12306账号、密码、身份证号码等敏感信息收集和泄露的问题。

携程

此事与携程没有任何关系，携程火车票的用户账号、密码等相关数据是安全的，在传输和保存始终处于加密状态，任何未经授权的人员都无法取得这些资料。

360

关于12306信息泄露，360回应称，360浏览器抢票软件具有业界最严格的安全防护机制，从未发生数据泄露情况。通过对网上公开传播的超13万条12306用户数据进行调查分析，此事与360没有任何关系。公安机关能根据这些受害用户信息进行调查，很快就能挖出泄露数据的源头。

腾讯

腾讯手机管家安全专家提醒，用户最好通过12306官方站点购买车票，同时建议广大12306用户务必尽快修改12306网站密码，其他网站、网银、第三方支付软件等利用与12306注册邮箱、密码一致的也应立即修改。更需要提醒的是，这些数据有可能被犯罪分子用作精准诈骗，近期应谨防诈骗短信、诈骗电话等。

搜狗

针对12306数据泄露，搜狗浏览器官方微博声明称：1、建议用户尽快修改12306账户的密码，以防范重要的个人信息被泄露，造成不必要的损失；2、请及时查询已购的车票是否被恶意退票，以保证返乡行程的一路平安。

微观12306泄密之慌

正值春运购票的关键时刻,这则消息引发了不小的恐慌。不少网友迅速登录12306网站修改密码,以防自己的个人信息被不法人员盗用牟利。还有人则担心,自己辛辛苦苦订好的火车票,会被别人恶意退票。随后,12306官方发表公告称,12306网站数据库所有用户密码均为非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。

公告一出,第三方抢票软件被推至“风口浪尖”。当天下午,有抢票功能的@猎豹浏览器发布微博称,“猎豹浏览器没有开发过任何需要用户提交个人资料信息的云抢票或者离线抢票功能……猎豹浏览器现在不会,以后也不会上传或要求用户提交个人信息资料,请大家放心。”

当晚,新华社对外部官方微博@中国独家报道称,“360浏览器抢票软件向新华社记者回应,此事与360无任何关系。”其后,@百度卫士回应,百度卫士抢票宝本身是一款安全软件,用户的关键数据都保存在用户的电脑中,并不具备云同步功能,因此不会出现相关信息的泄露问题。

各方都急于撇清泄密事件的责任,“撞库”成为泄密原因的流行说法。所谓“撞库”,简单来说就是用户在不同网站使用同一密码,被黑客窃取后到12306网站进行验证和窃取。对于这种解释,很多人表示不解——如果真是“撞库”造成的泄露,12306网站为什么会留下这么大的漏洞?

12月26日,@中国铁路发布微博称,铁路公安机关已将涉嫌窃取并泄露他人电子信息的犯罪嫌疑人抓获。对于泄密事件的关键问题,没有正面回应。据@新京报称,12306网站已于27日加入全球最大的漏洞响应平台,开始漏洞修复。网站主管方中国铁道科学研究院则最高悬赏2000元,号召网友查找漏洞。

尽管12306网站的危机应对做得很好,但@中国之声新闻纵横依旧要追问:“泄密者被抓,12306的责任可以撇清吗?网友们在焦急抢票的同时,也在围观坐等结果。既然我们只有这一个网上购票渠道,希望它能最大程度地保证安全。”

@丁金坤律师则从法律的角度,对泄密事件的责任进行了分析:黑客是第一责任人,既要承担刑事责任,也要承担民事责任。但黑客承担责任并不能免除12306的赔偿责任,因为用户与12306是合同关系,12306的技术没有到位。因此,这是可归责的违约,12306自然要承担责任。承担责任的难点是损失难以计算,建议以后民法增设类似知识产权纠纷的法定赔偿制度。

责任如何界定的问题,牵出了网友对类似事故的讨论。网友@开豆欣称,12306网站已经不是第一次被曝出信息安全问题。此前12306网站多次被曝存在漏洞,影响最大的一次是2013年12月6日——新版中国铁路客户服务中心12306网站上线仅几个小时后,就被指存在漏洞,可能导致用户信息泄露。

梳理过往的类似事件,人们又想起新版12306网站上线时,@清华大学清新时报微博推出的一条“零点微评”——访问量固然增加网站压力,但这不是无视错漏回避责任的借口。若在垄断体制下售票系统无法实现自我完善,则公共资源配置市场化或为良策。

于是,@乌云—漏洞报告平台希望,官方调查最后即使不便公开受影响用户量,也至少能给涉及此事的用户一个提醒或强制的密码变更,他们才是最大的受害者需要保护。最后,如果官方确实存在一个可以“撞库”的账号接口漏洞,也希望告知是否发现并且进行了处理,别还可以继续“撞库”盗窃用户数据。

不过也有分析认为,12306泄密事件所带来的后果,可能没有人们想象的那样严重。25日@新浪科技更新微博认为,这只是一场被高估的恐慌。@新浪科技抽查访问了80位有效用户,发现名单泄露的密码并不是他们最新的密码,被泄露的数据库可能不是最新的。

但@新浪科技也提到,此次泄密事件让第三方抢票软件纷纷躺枪,“也许会引发对第三方插件和网站的新一轮监管”。一直以来,第三方的火车购票服务就存在争议,未来究竟会怎样?一切还不得而知。但社会各界的基本的共识是,无论是12306网站还是第三方购票软件,都应该充分保障用户信息安全。