電商中心評(píng)13萬(wàn)12306用戶信息外泄事件

電商中心評(píng)13萬(wàn)12306用戶信息外泄事件

                                             ——中國(guó)電子商務(wù)研究中心

一、事件概述：

12月25日上午，漏洞報(bào)告平臺(tái)烏云網(wǎng)出現(xiàn)了一則關(guān)于中國(guó)鐵路購(gòu)票網(wǎng)站12306的漏洞報(bào)告，危害等級(jí)顯示為“高”，漏洞類型則是“用戶資料大量泄漏”。

據(jù)了解，這則關(guān)于12306的漏洞報(bào)告，危害登記顯示為“高”，漏洞類型則是“用戶資料大量泄漏”，這意味著，這個(gè)漏洞將有可能導(dǎo)致所有注冊(cè)了12306用戶的賬號(hào)、明文密碼、身份證、郵箱等敏感信息泄露。

瑞星公司針對(duì)12306網(wǎng)站約用戶隱私被泄露事件進(jìn)行調(diào)查后發(fā)現(xiàn)，12306網(wǎng)站主域名下共有6個(gè)分站存在嚴(yán)重的Strust2框架的遠(yuǎn)程執(zhí)行漏洞。

同日，犯罪嫌疑人蔣某某、施某某被抓獲。經(jīng)過(guò)警方初步審查，兩人交代是通過(guò)收集互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個(gè)網(wǎng)站泄露的用戶名加密碼信息，嘗試登錄其他網(wǎng)站進(jìn)行“撞庫(kù)”，非法獲取用戶的其他信息，并牟取非法利益。

在12306網(wǎng)站數(shù)據(jù)庫(kù)泄露之后，網(wǎng)站加入了補(bǔ)天漏洞響應(yīng)平臺(tái)，并且主管方中國(guó)鐵道科學(xué)研究院?jiǎn)未巫罡邞屹p2000元，號(hào)召網(wǎng)友查找漏洞。截至29日，已經(jīng)有20多位網(wǎng)友提交了漏洞報(bào)告，根據(jù)發(fā)現(xiàn)漏洞的高低程度，有9位網(wǎng)友獲得50元到2000元不等的懸賞金額，累計(jì)獲得懸賞金額達(dá)4850元。

二、相關(guān)法律/法規(guī)

　——全國(guó)人大常委會(huì)2012年28日表決通過(guò)了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，明確規(guī)定：

任何組織和個(gè)人不得竊取或者以其他非法方式獲取公民個(gè)人電子信息，不得出售或者非法向他人提供公民個(gè)人電子信息。

公民發(fā)現(xiàn)泄露個(gè)人身份、散布個(gè)人隱私等侵害其合法權(quán)益的網(wǎng)絡(luò)信息，或者受到商業(yè)性電子信息侵?jǐn)_的，有權(quán)要求網(wǎng)絡(luò)服務(wù)提供者刪除有關(guān)信息或者采取其他必要措施予以制止。

網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位及其工作人員對(duì)在業(yè)務(wù)活動(dòng)中收集的公民個(gè)人電子信息必須嚴(yán)格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供。

　——《網(wǎng)絡(luò)交易管理辦法》第十八條規(guī)定：

網(wǎng)絡(luò)商品經(jīng)營(yíng)者、有關(guān)服務(wù)經(jīng)營(yíng)者在經(jīng)營(yíng)活動(dòng)中收集、使用消費(fèi)者或者經(jīng)營(yíng)者信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)商品經(jīng)營(yíng)者、有關(guān)服務(wù)經(jīng)營(yíng)者收集、使用消費(fèi)者或者經(jīng)營(yíng)者信息，應(yīng)當(dāng)公開(kāi)其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。

網(wǎng)絡(luò)商品經(jīng)營(yíng)者、有關(guān)服務(wù)經(jīng)營(yíng)者及其工作人員對(duì)收集的消費(fèi)者個(gè)人信息或者經(jīng)營(yíng)者商業(yè)秘密的數(shù)據(jù)信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供。網(wǎng)絡(luò)商品經(jīng)營(yíng)者、有關(guān)服務(wù)經(jīng)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施。

三、專家觀點(diǎn)：

對(duì)此，中國(guó)電子商務(wù)研究中心特約研究員、廣州金鵬律師事務(wù)所合伙人詹朝霞律師認(rèn)為：

　　——違法成本低，法律監(jiān)管缺失是“泄密”事件再三出現(xiàn)的根源！

從法律層面來(lái)看，各類服務(wù)提供商，基于提供服務(wù)所采集的用戶信息數(shù)據(jù)，具有嚴(yán)格保密的法律義務(wù)，類似的規(guī)定散見(jiàn)于國(guó)家工商總局發(fā)布的《網(wǎng)絡(luò)交易管理辦法》、《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》等相關(guān)法律法規(guī)規(guī)章中，雖然規(guī)定不少，但相關(guān)規(guī)定中卻沒(méi)有設(shè)置任何對(duì)應(yīng)的處罰措施，違法成本極低。

在日益繁雜多變的網(wǎng)絡(luò)交易中，服務(wù)商們忙于應(yīng)付各種生意，對(duì)于用戶信息保密僅僅是基于商業(yè)道德或品牌榮譽(yù)的角度，其實(shí)施力度可想而知?？梢院敛豢鋸埖卣f(shuō)，法律監(jiān)管的缺失是類似事件一而再再而三爆發(fā)的根本。行政主管部門，比如工商局、銀監(jiān)會(huì)、證監(jiān)會(huì)、通管局等相關(guān)部門應(yīng)該形成聯(lián)動(dòng)機(jī)制，對(duì)泄露用戶信息的行為甚至是“出賣”用戶信息的行為進(jìn)行狠狠打擊，還消費(fèi)者以安全，還消費(fèi)者以放心。

對(duì)此，中國(guó)電子商務(wù)研究中心特約研究員、浙江澤大律師事務(wù)所付勇勇律師認(rèn)為：

　　——因商家過(guò)失導(dǎo)致消費(fèi)者經(jīng)濟(jì)損失的理應(yīng)賠償！

根據(jù)《消費(fèi)者權(quán)益保護(hù)法》的規(guī)定，經(jīng)營(yíng)者及其工作人員對(duì)收集的消費(fèi)者個(gè)人信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供。經(jīng)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止消費(fèi)者個(gè)人信息泄露、丟失。

在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施。另外，《網(wǎng)絡(luò)交易管理辦法》也有相同的規(guī)定。如果由于經(jīng)營(yíng)者的過(guò)失，導(dǎo)致消費(fèi)者經(jīng)濟(jì)損失的，理應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任。

對(duì)此，中國(guó)電子商務(wù)研究中心特約研究員、北京志霖律師事務(wù)所趙占領(lǐng)認(rèn)為：

　　——網(wǎng)站泄露用戶數(shù)據(jù)的保障法律仍是空白！

目前關(guān)于泄露用戶數(shù)據(jù)的安全保障法律仍是空白的，此前工信部直屬的中國(guó)軟件測(cè)評(píng)中心透露，《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》已正式通過(guò)評(píng)審，正報(bào)批國(guó)家標(biāo)準(zhǔn)。

但是，有業(yè)內(nèi)人士擔(dān)心，指南不是強(qiáng)制性標(biāo)準(zhǔn)，甚至也不是推薦性標(biāo)準(zhǔn)，其執(zhí)行效力如何，仍待觀察。

四、相關(guān)案例

　　支付寶賬戶交易信息泄露

2013年3月27日，有網(wǎng)友在微博上曝出，使用谷歌搜索輸入“site：shenghuo.alipay.com轉(zhuǎn)賬付款”即可看到各種轉(zhuǎn)賬信息，包括轉(zhuǎn)賬付款姓名、賬戶信息、付款金額、付款賬戶、付款說(shuō)明等，數(shù)量超過(guò)2000條。很多網(wǎng)友擔(dān)心自己的信息和資金安全，表示“再也不通過(guò)支付寶轉(zhuǎn)賬了”。

對(duì)此，支付寶迅速在其官方微博在回應(yīng)中稱，支付寶生活助手轉(zhuǎn)賬付款結(jié)果頁(yè)面一般用于支付雙方展示支付結(jié)果，不含真實(shí)姓名、密碼等重要信息，支付寶對(duì)這一頁(yè)面鏈接加具了安全保護(hù)，正常情況下任何搜索引擎都無(wú)法抓取。目前已將用戶付款結(jié)果頁(yè)面做部分信息隱藏，進(jìn)一步幫助用戶保護(hù)個(gè)人隱私信息。“一般”和“正常情況”的表述方式也表現(xiàn)了支付寶的態(tài)度。中國(guó)電子商務(wù)研究中心發(fā)布的專題《攜程被曝存"支付漏洞"引發(fā)互聯(lián)網(wǎng)安全問(wèn)題》對(duì)此次事件進(jìn)行了詳細(xì)報(bào)道。

攜程用戶信息“泄密門”

2014年3月22日，國(guó)內(nèi)網(wǎng)絡(luò)安全問(wèn)題反饋平臺(tái)—烏云漏洞平臺(tái)發(fā)布消息稱，攜程系統(tǒng)存技術(shù)漏洞，可導(dǎo)致用戶個(gè)人信息、銀行卡信息等泄露；漏洞泄露信息包括用戶姓名、身份證號(hào)、銀行卡類別、銀行卡卡號(hào)、銀行卡CVV碼(卡號(hào)、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)等，上述信息可能被黑客讀取。

23日，攜程發(fā)布聲明稱，就攜程存漏洞一事，目前確認(rèn)共93人賬戶存安全風(fēng)險(xiǎn)，并已通知相關(guān)用戶更換信用卡，并在其官方微博上表示，將給予這93名用戶每人500元任我行禮品卡作為補(bǔ)償。

五、專家建議

　　那么，如何防止個(gè)人信息被泄露呢？對(duì)此，中國(guó)電子商務(wù)研究中心助理分析師沈云云給出了建議：

　　——網(wǎng)站用戶信息泄露有多種可能性途徑

現(xiàn)在許多網(wǎng)站、論壇都需要用戶注冊(cè)賬號(hào)后才能正常使用。因此，每個(gè)網(wǎng)民擁有多個(gè)賬號(hào)是很平常的事情。在注冊(cè)時(shí)，網(wǎng)站一般都需要填寫一些個(gè)人信息，如常見(jiàn)的賬號(hào)、密碼、郵箱等，像一些電子商務(wù)、婚戀、交友網(wǎng)站等還需要實(shí)名認(rèn)證，要求填寫的信息更加詳細(xì)。

網(wǎng)站上的用戶數(shù)據(jù)泄露主要有以下幾種方式：黑客利用網(wǎng)站存在的安全漏洞入侵網(wǎng)站，盜取用戶數(shù)據(jù)庫(kù)；網(wǎng)站內(nèi)部工作人員倒賣用戶信息；通過(guò)撞庫(kù)攻擊，竊取用戶數(shù)據(jù)；利用釣魚攻擊竊取用戶信息；通過(guò)木馬、病毒竊取用戶隱私信息。

——法律條文需細(xì)化，相關(guān)部門應(yīng)適時(shí)介入

我國(guó)關(guān)于網(wǎng)絡(luò)信息安全方面的法律條文不夠明確，適用范圍尚且不夠精準(zhǔn)，相關(guān)條文必須得到進(jìn)一步細(xì)化、規(guī)范，以此更加公平公正地懲治網(wǎng)絡(luò)信息安全事故的造成者，保護(hù)公民切身利益。

此類信息泄露事件不適用“不告不處理的”的原則，相反，執(zhí)法部門應(yīng)主動(dòng)積極介入案件調(diào)查，并對(duì)實(shí)施者進(jìn)行追責(zé)處理。

——信息安全無(wú)小事，用戶必須增強(qiáng)信息保護(hù)意識(shí)

警惕要求重新輸入賬號(hào)信息，否則將停掉信用卡賬號(hào)之類的郵件，不要回復(fù)或者點(diǎn)擊郵件的鏈接，以免落入圈套。同時(shí)，避免開(kāi)啟來(lái)路不明的電子郵件及文件，安裝殺毒軟件并及時(shí)升級(jí)病毒知識(shí)庫(kù)和操作系統(tǒng)補(bǔ)丁，將敏感信息輸入隱私保護(hù)，打開(kāi)個(gè)人防火墻。

使用網(wǎng)絡(luò)銀行時(shí)，選擇使用網(wǎng)絡(luò)憑證及約定賬戶方式進(jìn)行轉(zhuǎn)賬交易，不要在網(wǎng)吧、公用計(jì)算機(jī)上和不明的地下網(wǎng)站做在線交易或轉(zhuǎn)賬。

不要在多個(gè)網(wǎng)站使用相同的注冊(cè)賬戶名以及登錄密碼，防止網(wǎng)絡(luò)黑客有意盜取，造成多個(gè)網(wǎng)站個(gè)人信息的連環(huán)失竊。

針對(duì)信息泄露案、網(wǎng)絡(luò)打假、網(wǎng)店征稅等電子商務(wù)相關(guān)的法律問(wèn)題，中國(guó)電子商務(wù)研究中心發(fā)布《2013-2014年度中國(guó)電子商務(wù)法律報(bào)告》進(jìn)行了詳細(xì)的解讀。