精准营销?揭秘手提式有线电话机访客经营出售冰雪蓝行当链

图片 1

从事“天价手机号”的黄牛每年利润从十几万元到几百万元不等,形成了灰色产业链,侵犯了消费者应有的公平公开交易权

这不是12306网站第一次发生用户信息泄露事件了,但是最大的一次。

图片 2

  原标题:为何看个网页就能泄露手机号?“手机访客营销”已形成黑色产业链
每天危害数百万网民的个人隐私

新办理的手机号,啥也没注册,却依旧会收到骚扰电话与短信?这究竟是怎么回事呢?

切断“天价手机号”灰色产业链,需在电信法规和制度层面对相关交易行为做出界定

12306官方网站当日公告称,经认真核查,此泄露信息全部含有用户的明文密码。12306网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。

▲记者用手机访问了测试网站,手机号立即被系统抓取。图/新京报网

  只是用手机看了个网页,没多久自己的手机号码就成了各种骚扰电话的目标,这到底是怎么回事呢?其实这都是“手机访客营销”黑色产业链在捣鬼,其利用运营商系统漏洞,非法获取公民手机号,再将信息转卖,用作所谓的“精准营销”。

很多网友都有过这样的体验,上网看个新闻,逛逛网页,下线就收到了骚扰电话与短信,品类涉及理财、培训、保健、不出门就能进行的澳门赌博,可谓是令人眼花缭乱,防不胜防。(IPhone用户们纷纷郑重表示,要是能标记,我早标记他们了!)

一个“1XX99991111”的移动号码标价为25.5万元,“1XX99999999”号码价格为558万元……连号、交叉号、“生日靓号”和“情侣靓号”按照基础运营商和虚拟运营商、连号位数、销售平台等因素,价格从几百元到上百万元不等,这就是当前市场上出现的“天价手机号”。据专家介绍,从事“天价手机号”的黄牛每年利润从十几万元到几百万元不等,有的手机号交易价甚至比肩一线城市一套房子价格,形成了灰色产业链。“天价手机号”为什么能在市场上横行?对电信市场有怎样的危害?怎样切断这条灰色产业链?

12月25日上午10:59,乌云网发布漏洞报告称,大量12306用户数据在网络上疯狂传播。

仅仅是打开网页看了几眼,自己的手机号就被泄露了,“黑客”们真能办到吗?近日,新京报记者亲测了网络售卖的“最新抓取技术”,用4台不同号码的智能手机浏览“做了手脚”的网站,其中2台手机的号码被成功抓取。

  用手机上网看几条新闻,下线之后没过几分钟垃圾短信、骚扰电话就不请自来,网友对此早已不胜其烦。然而他们并不知道,就在自己漫不经心刷着手机屏幕的时候,一条新型贩卖个人信息的黑色产业链已经在身边悄然启动。

其实呀,就在你刷着网页的时候,一条贩卖手机访客信息的黑色产业链已经在你身边悄悄的展开了……

普惠金融知识平台“耶问”分析师崔凯向《经济日报》记者介绍,之所以出现“天价手机号”在市场上横行的现象,从消费者的角度分析,“天价手机号”经常被拿来炫耀身份,就如同其他奢侈品一样,手机号这个日常社交活动当中用得最多的媒介,更可以胜任表达自己特殊身份的作用,这类手机号码在某些人眼中具有特别的附加价值和意义,因此也愿意为之付钱,有需求就会产生相应的市场,灰色产业链就这样逐步形成了。

而此时,正是春运购票的关键时刻,12306网站每天的访问量都很惊人。

只是点击网页,甚至无需发展到用手机号注册、登录那一步,就已经遭遇信息被泄露,这一现实已经让人瑟瑟发抖。更可怕的是其背后的黑色产业链已经相当发达。

  据统计,2016年到2017年我国有6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。360集团助理总裁姚彤认为,在网络安全事件频发的大背景下,手机诈骗也呈现出犯罪手段心理学化、专业规模化、损失巨额化、信息贩卖产业化等新趋势,因此移动安全技术的升级不可或缺。

图片 3

资深通信专家项立刚认为,从产业角度分析,灰色产业链形成是运营商通过预存话费和最低消费等手段将号码批给代理商,代理商通过少量加价再把号码卖给下一级代理或者黄牛,下一级代理在之前的价格之上再加价将号码卖给消费者或黄牛。每转手一次,价格就在原来基础上增加一些,转手越多,最后到用户手里的价格越高。

乌云网创始人邬迪告诉21世纪经济报道记者,“这是乌云网历史上,第一次如此大规模的铁路用户数据泄露。”

新京报通过调查发现,从编写代码植入网站,到抓取访客手机号码,到贩卖手机号,再到广告营销,这条产业链分工明确,环环相扣,在用户毫不知情的前提下,以极其廉价的价格,对个人信息价值进行了批量收割。

  现状

首先,你浏览的那些网页的运营机构,会向黑产代理商购买相关服务,将代理商提供的恶意代码嵌入到网页中,每当用户浏览网页时,后台就可以获取你的手机号,甚至是手机型号、搜索关键词等信息,而且还能更多……

崔凯表示,“天价手机号”灰色产业链侵犯了普通消费者应有的公平公开交易权,现实中,确实存在伪造机主证件并利用运营商的漏洞补卡过户的“盗号团队”,以及黄牛操纵市场价格进而扰乱我国电信管制秩序,影响电信市场的健康发展,因此必须下力气切断这条灰色产业链。

据了解,本次泄露事件被泄露的数据达131653
条,包括用户账号、明文密码、身份证和邮箱等多种信息。

信息被泄露,对民众的多重危害不言而喻,不厌其烦的广告骚扰还只是其一。根据业内人士的说法,类似的抓取业务在医疗行业使用最频繁。医疗行业本身就是风险比较高的领域,一旦那些不正规的医院用它来非法获客行医,被误导的患者或将成为待宰羔羊。

  用手机看网页也能泄露个人信息

此时,当网页运营机构获取你的相关信息后,就可以根据你的信息,进行筛选分类,根据对你的大体判断,由客服对访客发起有针对性的精准营销。

按照电信法等相关法律,手机号码属于国家公共资源,国家将某号段的手机号码资源授予电信运营商,运营商把每个具体的号码交付具体的机主使用后,机主只有使用权。我国《电信网码号资源管理办法》第41条规定,擅自转让、出租或变相转让、出租码号资源的,责令改正,没收违法所得,处违法所得3倍以上5倍以下罚款,“天价手机号”交易显然属于一种巨额获利行为,但是对于“天价手机号”交易环节,法规还无明确规定怎样让“盗号团队”和黄牛承担法律责任,所以让“盗号团队”和黄牛能够钻这个法律空子。

乌云网是一家专注于互联网安全漏洞报告的平台。邬迪介绍称,乌云网每天都会对各项数据进行监测,12306事件只是今天的一项内容。但此前,他们也曾报告过12306网站泄露用户信息的情况。

这些现实告诉我们,打击信息泄露黑产,刻不容缓。实际上,早在几年前,有些地方对手机访客抓取营销就有过系统打击。比如2017年北京海淀警方查获非法获取公民信息的网站26个,33人因涉嫌侵犯公民个人信息罪被逮捕。

  昨天,邓女士的手机被推送一条新闻,她好奇点开浏览了一番,随后就关闭了。但是很快,二手车广告短信就率先“叮”的一声飞进了手机,随后各种骚扰电话纷至沓来,银行贷款、英语培训、推销海景房、推销保健品等等五花八门。“骚扰电话多得都标记不过来,每天都能接到好几个!”邓女士抱怨道。据悉,从2016年起,有多位网民在网上爆料手机号码、QQ号码等隐私信息泄漏:“我在手机上搜索、浏览网页,很快就接到了网站客服人员的推销电话,我没有注册也没有登录,对方却精确地说出了我在什么时间、用了什么关键词、打开了哪个网站。”

甚至在当今技术背景下,依托大数据与人工智能等,实现由系统根据数据分析自动给用户贴标签、分析用户画像,大体判断出你的社会定位与消费水平,以及你的可开发空间。当然了,目前能做到这一条的,基本都是技术水平与规模相对较高的机构,普通黑产代理一般只能获取你的基本信息。

专家表示,要切断“天价手机号”灰色产业链,除了在我国相关电信法规和制度对于天价手机号的流通交易的行为界定和法律责任做出更加具体的规定外,对于折射出的电信运营商对手机号码投放、收回、再投放等相关环节和程序的执行不到位、不严密的问题,需要电信监管部门加大监管力度,从源头进行控制,只要坚持公平公正公开的原则,让所谓的“天价手机号”和正常手机号通过同样的渠道流入市场,进入消费者的选择范围;在产业链环节,需要增加相应的举报监督机制,对于运营商而言,应当努力建设自身号码产生销售系统对外完全透明的机制。消费者协会和运营商可以向消费者做出说明,让消费者不参与灰色产业链,认识到“天价手机号”扰乱电信市场的实质,逐渐摒弃通过“靓号”显示身份的行为方式。多方力量形成合力方可切断“天价手机号”灰色产业链。

对这次用户信息泄露事件,网络议论热烈。有网友担心,这些泄露的信息是否包含购票过程使用的银行卡等信息等。专业人士建议,如果用户在其他网站也使用了12306网站同样的用户名和密码,应当修改密码。

此类现象不断被曝光的现实也提醒我们,打击信息泄露黑产需要更精准、根本性地打击,类似“打地鼠似”的发现一起、处理一批人的模式,并非长远之计。

  对此,大多数推销员对用户的回答都是“手机号码是搜索网站提供的”。而实际情况是,黑产利用运营商系统漏洞,非法获取公民手机号,将信息转卖给医疗、教育培训、金融等机构用作所谓的“精准营销”。

图片 4

多位接受21世纪经济报道记者采访的安全专家对此事件分析认为,这次很可能是黑客“撞库”行为造成的,而非12306网站直接泄露,但同样说明12306网站仍存在安全漏洞。不过,也有一些专家认为事件原因仍不明。

图片 5

  具体的操作流程是,这些机构从二级代理手中按月或按年购买此服务后,将“手机访客营销平台”提供的恶意代码嵌入到网页中,当用户点击网页时,他们就可以在后台账户上看到用户的手机号、手机型号、搜索的关键词等各种信息,并雇佣电话客服,对访客进行精准的电话营销,从而让众多网民不得不承受着这些骚扰。

目前,抓取手机访客手机号黑产链已形成成熟的O2O产业模式,上游制作黑客工具,也就是很多人口中的“枪”;中游多层销售代理,一级代理将平台大量分发给二级代理,二级代理diao丝呵呵的活跃于某宝、论坛等装大神、赚外快,甚至还会有“薅羊毛”的三级、四级代理;下游就是黑产工具的购买机构或个人了……

对于此事件的影响,中国政法大学传播法研究中心研究员朱巍分析称,如果12306是出于过失导致信息泄露,司法实践中会采用过错推定原则确定侵权责任,“即先推定12306存在过错,然后由12306举证,证明自己尽到了安保责任”,朱巍说。

▲抓取系统后台,可看到访客搜索的关键词、手机号等隐私信息。图/新京报网

  资料显示,2016年到2017年我国有6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。另有数据显示,国内“网络黑产”从业人员超过150万,且有进一步扩大趋势。

黑产链依据系统漏洞,如运营商手机号返回接口,制作手机访客平台,这虽只是整个黑产帝国的冰山一角,规模却极其惊人!根据海淀公安局和百度安全技术人员侦查发现,目前手机访客抓取服务,从业者分工明确,覆盖全国大多数省份,每天危害数百万网民的个人隐私。

泄露原因何在?

从技术层面看,手机、记录了登录信息的浏览器以及运营商,都掌握着号码信息,它们都是潜在的泄露源头。但是,明确信息泄露发生在哪一环节,目前尚有难度。而正是因源头不明,让对这一黑产的打击更显困难,用户要反泄露也是无从下手。

  调查

黑产诈骗已呈现心理学化、规模化、专业化、巨额化、产业化等新趋势。据统计,2016年到2017年我国有6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元,移动安全技术的升级不可或缺。

乌云网创始人邬迪告诉21世纪经济报道记者,12月25日上午10:59,在事件发生后,乌云网立刻进行了核查,在确认该消息的真实可靠性后对此事进行了发布。

之前曾有媒体报道,对运营商可能泄露号码的情况,有运营商的网管人士表示,与他们无关,是大数据关联分析定位了用户的手机号。但考虑到号码泄露是发生在使用运营商而非WIFI网络的前提下,运营商在安全系统方面是否存在漏洞也值得引起重视。

  “手机访客营销”团伙年收入上亿

图片 6

不久后12306就在第一时间知道了此消息,并与乌云网取得联系,表示会认真调查此事,并在日后发布公告。

另外,对类似信息泄露模式的打击,端口还得后移,不仅要铲除盗取、贩卖信息的力量,还得对购买服务的机构加大打击力度。

  今年6月“海淀网友”小张在看到网上“提供手机号抓取服务,详情请添加QQ好友私聊”的信息。按照对方QQ的提示,好奇的小张注册了该网站的会员,并免费试用抓取代码三天。经过自己之前建的小网站测试,发现这项“服务”能够在手机用户浏览过后,抓取到手机号、型号等信息。

据笔者了解,羊毛党、外挂逼、不正规网站制作者们,他们不同等级之间,一天的利润,嗯,换个通俗点的说法吧,日入过万,日入十万,甚至日入百万!在巨大的利益面前,神马都是浮云。

下午14:15,乌云网通过新浪微博发布了消息称,数据疑似黑客撞库后整理得到,而并非12306直接泄漏,请用户及时修改密码同时慎用抢票工具。

因为尽管精确定位泄露源头困难,但那些教育培训或者医疗机构,能够在用户浏览后,就掌握其号码进行营销,多半是购买了抓取业务。根据用户对骚扰电话的标记投诉,完全能以此为突破口,顺藤摸瓜,揪出整个地下产业链。

  小张这时才恍然大悟,原来曾经浏览网页后收到的莫名网络电话,竟然都是黑产从业人员一手“策划”的。如果不是好奇心驱动,小张可能永远不会发现,这种手机访客营销
“服务”竟然已经形成了黑产工具制作、多层级销售代理、黑产工具购买者的O2O式的成熟产业链,而背后的利益规模巨大,按照每个网站年会员费8000元计,每年黑产团伙的收入就超过3亿元。

甚至可以这么说,在笔者还在从事计算机开发的时候,要不是对社会、对人民强大信念的支持,我面对黑产,也很动心,但也只是动了动心,每个人都有自己的追求,和适合自己生长的土壤,嗯,扯远了……

邬迪也对21世纪经济报道记者称,所谓“撞库”就是黑客通过收集网络上已泄露的用户名及密码信息,生成对应的“字典表”,到其他网站尝试批量登录,得到一批可以登录的用户账号及密码。

2016年实施的《移动互联网应用程序信息服务管理规定》明确要求,对个人信息的收集使用要遵循正当、合法、必要三原则,未经用户同意便采集手机号码明显违规,更别说延伸出来的信息贩卖产业链。

  根据小张的举报,海淀分局网安大队和百度安全技术人员侦查发现,目前,抓取访客手机号已经形成了完整利益链条和黑色产业链,黑产从业者分工明确,覆盖全国大多数省份,每天危害数百万网民的个人隐私。

说回来,当前诈骗电话与短信持续猖狂,花样不断翻新,近年来,以勒索软件为代表的恶意软件逐渐呈爆发态势,危害巨大。而类似永恒之蓝的事件一旦在手机端爆发,目前的安全机制无法及时遏制,其危害程度将远高于PC端。据统计,我国伪基站短信数量非常之大,已经成为传播电信诈骗、虚假广告的主要手段,网络安全已经进入“大安全时代”。

登录用户的后台后,可能存在邮箱、手机号码、身份证号码被泄露、账务积分和账户余额流失等多种风险。

网页成了危机四伏的陷阱,网民上网还得苦练“隐私防身术”,如此尴尬的现实提醒我们,治理的重心要对准信息贩卖产业链交易的全环节,从供给端和需求端同步出击治理。而这条这条产业链牵涉的各个方面,包括主管机构、手机厂商、运营商以及互联网平台,都得搭建更为周密的防火墙,才能让民众的信息安全从根本上得到保障。

  据介绍,“手机访客营销”黑产有着严格的等级分工。数据泄露源头为运营商手机号返回接口,访客手机号窃取的技术服务提供者根据接口开发出“手机访客营销”平台,并将此类平台销售给一级代理,一级代理负责将服务平台出售给大量的二级代理,二级代理进行手机访客营销业务的分销。

图片 7

“如果用户及时修改原始密码就可以规避撞库风险。”邬迪说,“但这并不等于自己的信息就完全安全了。”

□熊志

  打击

那么,对于这群骗子极其可恨的行为,该如何防范呢?

邬迪告诉记者,除了撞库,还有另一种方式叫做拖库。黑客通过技术直接下载某平台的全部数据库。“但本次12306泄露可以排除拖库的可能性。”

编辑 陈静 校对 李世辉

  “手机访客营销”黑产窝点被端

笔者不说正规的,正规的详情请咨询警察叔叔,笔者只喜欢说歪点子(多处可用),他们满肚子坏水,让你憋一肚子气,没啥留情的……

在业内人士看来,“拖库”是指入侵有价值的网络站点,把数据库全部盗走的行为。盗取数据后,黑客会通过一系列的技术手段清洗数据,并在黑市上将有价值的用户数据变现交易,此为“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”。

  百度安全统计发现,大约4万个站点存在类似的情况,涉及数百万网民的隐私数据。为此,百度安全与公安机关联合展开
“滤网行动”,组成专案组共同参与侦查此案。据悉,专案组历时2个月深入全国18个地市开展落地核查工作,破获了这起国内首例新型侵犯用户个人隐私黑产团伙——“手机访客营销”黑产,初步抓获了26家涉案网站及多名违法犯罪嫌疑人,查获公民信息100余万条。案件破获后,犯罪嫌疑人梁某等33人对“抓取访客手机号行为”供认不讳。目前他们都被检察机关依法批准逮捕。

擒贼擒王难度比较大,咱们能直接接触的,就是下游机构,别看人家是下游,但人家很可能是个公司集团,也可能是个骗纸。

浪潮电子信息安全事业部副总经理蔡一兵对21世纪经济报道记者称,“在互联网的黑市里有一个非常成熟的产业链,有一个非常成熟的形成利益过程:拖库、洗库和撞库。”

  值得一提的是,百度同步展开专项打击,用AI技术围剿黑产。百度安全利用机器学习技术进行非法网页检测,先后开展了5次针对性黑产对抗,3个月内打掉了多个存在这类黑产行为的网站,网民点击到恶意网站的数量减少99.33%。

首先第一步,默默地和骚扰电话聊会儿天,记下他们的公司名称等信息,当然是能越多越好。

针对此次泄露事件的原因,360互联网安全中心的安全研究人员非常肯定地以书面方式回答21世纪经济报道经济的采访函时表示,“此次12306网站信息泄露是被黑客撞库造成的。”

  据悉,除了此次“滤网行动”,近两年百度对黑产重锤封杀。2016年7月,抓获DDoS攻击黑产团伙;2016年8月,研发“天网算法”针对性打击窃取用户隐私黑产;2016年9月,抓获撞库和撞库工具制作者,破获黑产链条;2017年上半年,风险词黑名单拦截有害信息1.7亿次;2017年上半年,“护苗2017”清理色情信息超过2200万条;2017年10月,配合公安机关抓获伪基站全部产业链黑产团伙。

第二步,登录天眼查(自行百度,放链接不知道会不会被屏蔽)或其他相关的地方企业信用信息网,查看他们法人信息等详情,顺道看看名下还有没有其他黑店。

其理由是,经过他们安全研究人员的调查发现,第一、几乎所有13万条12306账号密码,都可以在此前多家游戏网站泄露的密码库中匹配到相应的记录。说明黑客用多家游戏网站的密码库对12306发动“撞库”攻击,筛选出13万余条使用相同账号密码的用户数据。第二,通过对12306泄露数据中的相关用户进行抽样调查,超过半数没有使用任何抢票软件,其余则是使用不同的抢票软件。

  观点

第三步,登录工商网站进行投诉与举报,如果你是北京哒,可以拨打12345(北京市便民电话,北京市非紧急救助服务中心)进行求助,跟法律有关的都可以拨打。

在今天的泄露事件发生后,网上曾流传称,有18G的完整12306数据库被泄露,但是目前并没有人在网上找到过这个数据库。

  移动安全保护要向全产业链联动

第四步,举报他们违规经营、恶意获取客户信息、虚假宣传、欺诈客户。

泄露事件发生后,12306发布公告称网上泄露的用户信息系经其他网站或渠道流出,原因是12306网站使用的是多次加密的密码,而泄露的是明文密码。分析人士称,这也从另一个侧面说明,这些密码可能不是从12306网站泄露出去的。

  值得警惕的是,信息贩卖产业化还为手机诈骗犯罪提供了滋生土壤。360集团助理总裁姚彤认为,随着近年来各类移动产品的爆发式增长与互联网热点事件的层出不穷,为不法分子提供了众多行骗的机会,比如现金贷陷阱,或者伪造共享单车退款进行诈骗。对此姚彤认为:“当前诈骗电话与短信持续猖狂,花样不断翻新,在这种情况下,移动安全的技术升级不可或缺。”

第五步,拨打10086或10010等,投诉他们的电话骚扰诈骗。

据乌云官网发布的消息称,漏洞已交由第三方厂商国家互联网应急中心处理。12月25日,国家互联网应急中心人士对21世纪经济报道记者表示:“事件正在调查当中,结果以官网发布为准。”

  他还指出,近年来,以勒索软件为代表的恶意软件逐渐呈爆发态势,危害巨大。而类似永恒之蓝的事件一旦在手机端爆发,目前的安全机制无法及时遏制,其危害程度将远高于PC端。“面对威胁,就需要利用大数据和人工智能技术进行场景分析与精准识别,结合态势感知对诈骗进行溯源分析,进行快速阻断。”姚彤说。

第六步,如果第二步中没有查询到他们的企业信息,举报他们违规经营,工商直接查封。如果查询到了信息,看他们注册地和公司实际地址是否一致,如果不一致,举报他们异地经营。再在企业信用信息的网站里查看他们是否备案,如果未备案,再举报他们违规经营,要求吊销工商执照。还有他们的经营类目是否有从事骗你这块业务的资质等。

一位网络安全研究人员对21世纪经济报道记者称,12306网站第一时间知道这个事情的,并发布了公告,但是几个小时过去了,那些用户名和密码还可以登录,并可能被用于更改他人密码、找到他人的电话号码,甚至帮人家退票,“他们为什么不紧急通过技术手段,短信通知用户,将泄露的用户密码强制更改或提醒客户更改?”$pager$

  据统计,我国伪基站短信数量非常之大,已经成为传播电信诈骗、虚假广告的主要手段。根据《2014年中国手机安全状况报告》数据显示,2014年,360手机卫士共拦截613亿条垃圾短信,平均每天拦截垃圾短信1.68亿条,其中拦截各类伪基站短信32.7亿条,平均每天拦截伪基站短信约1189万条。

第七步,登录地税局网站,举报他们偷税漏税,这个估计是,很准!核实还有奖。

为什么会有这么大的漏洞?

  姚彤表示,网络安全已经进入“大安全时代”,移动安全形势更加复杂多变。面对挑战,产业链各方应积极通过技术共享、信息联动、共同建立立体化的防护体系。移动安全保护从单一型防御转向复合型防御、从技术为主转向技术意识并重、从各自为战转向全产业链联动已是大势所趋。在姚彤看来,系统化地解决反诈骗问题,仅靠单方力量是远远不够的,必须要从全产业链出发,需要主管机构、手机厂商、运营商、安全厂商、科研机构等多方构建一体多位、全链接的移动网络安全防护体系。

号外:如果他们是理财的,你就举报他们没有从业资格证;如果是房产的,那就更多了。直接百度专门针对某项行业的投诉技巧吧。

不过,邬迪称,“此事目前还无法下定论。”

  据悉,360已经与三大运营商合作,提供骚扰电话识别、二次号码加白、全网彩信短信拦截、黑灰网址拦截与提醒等服务,业务覆盖全国各省;与三星、华为(微博)等手机厂商开展各类技术合作;配合各地公检法机关打击诈骗犯罪等。

图片 8

在12306网站在发布上述提示公告时,还特别提醒旅客不要使用第三方抢票软件购票。这使得外界怀疑,此次泄露事件由第三方抢票软件而起。

责任编辑:张建利

他们罚款了,整治了,害怕了,就收敛了,广大人民就爽了,心里痛快了。痛打落水狗,不妥协,你就赢了。全国人民不妥协,这不,帝国主义都赶跑了,新中国都成立了嘛……

一位长期研究刷票软件的人员告诉21世纪经济报道,目前抢票软件发展速度极快,但并不存在十分清晰的盈利模式,因此从第三方软件中泄露数据的可能性也依然存在。

关键字 :
移动安全垃圾短信网民运营商

高国良

一位从事软件程序开发的技术人员告诉21世纪经济报道记者,这类抢票软件的技术要求一般不高,如果第三方没有严格的保护措施,用户信息就存在不安全的隐患。

我要反馈

2017.12.09 午后 于阳台

对于此,360公司相关人员书面回应称,360抢票王基于360安全浏览器,360安全浏览器的上网安全技术和措施都可以保障抢票王的安全。他们认为,此次12306数据泄露事件与抢票软件无关。

图片 9

互联网安全专家更关心的是,如果真是撞库造成的泄露,12306网站为什么会留下这么大的漏洞?

新浪新闻公众号

“如果这次撞库发生在Google、微软身上,不可能成功。因为成熟的网站都会在登陆服务器时设置二次验证程序。国内很多网站为了节省成本,并没有设置这一道程序。”
猎豹移动安全专家李铁军对21世纪经济报道说。但是,目前并不清楚,此次漏洞是否与验证程序设置有关。

更多猛料!欢迎扫描左方二维码关注新浪新闻官方微信(xinlang-xinwen)

据一位对乌云网比较了解的专业人士称,12306网站从2012年2月开始,在乌云网上被披露的漏洞接近50个,其中涉及用户资料泄漏和敏感信息泄露的漏洞占7%,而还有44%的漏洞可间接导致信息泄漏,例如命令执行漏洞和SQL注射漏洞。

相关新闻

而这些被监测到的漏洞都持续了很长时间。这位专业人士称,他们也不明白为什么这些漏洞一直没有被补救。

加载中

360安全专家安扬也认为,12306网站被撞库,说明12306账号安全体系仍需要进一步完善,尽可能及时发现并阻断黑客撞库攻击。

点击加载更多

据21世纪经济报道此前的报道,
12306网站由铁科院开发,铁科院是原铁道部下属的单位。

推荐新闻

  • 【新闻】 到底是谁授意给田亮压分
    需要有个说法
  • 军事
    日媒:中国轰20快要首飞系仿制美军B2…
  • 财经】 马云:见赵薇不到十次
    为何有人总把我…
  • 体育】 欧冠16强一览:英超5队
    皇马拜仁小组…
  • 娱乐
    要转正?吴佩慈和准婆婆罕见同台
  • 科技
    中消协约谈7家共享单车企业:建议免收…
  • 教育
    女学生挥霍银行2340万判无罪?

一位从事高铁安全行业的人士对21世纪经济报道记者称,其实早在之前,铁科院内部已经发现这一问题,但至今尚未完全解决,直到如今东窗事发。$pager$

图片新闻

图片 10
6500人众筹购买城堡
400元拥有其中一角

图片 11
男子打砸共享单车
被发现后脱掉衣服装路人

图片 12
青年摄影师不可错过的赛事

图片 13
吉林长光卫星把日本机场看光光

黑色产业链

视频新闻

图片 14
粗心老板把顾客锁店里
警察救援时两次笑出声

图片 15
失误的代价!南非小鹿一头撞进狮群沦为盘中餐

图片 16
高校学生上演“废品维密秀”
用编织袋废纸盘做翅膀

图片 17
马云:退休后可能当回老师
最后的时光要在沙滩上

安扬对21世纪经济报道记者介绍,目前在互联网上公开流传的用户数据很多,仅2012年CSDN、天涯的泄露数据就超过2亿条,今年还出现了携程、如家、当当的泄露事件。

热门新闻

  • 01
    中央高压禁令下
    这东西又死灰复燃(图)
  • 02
    台战机拦截解放军军机 遭警告:立即离开
    后果自负
  • 03
    最高检披露给田亮压分领导
    耿直裁判遭她训斥!
  • 04 中国男排前国手离世年仅38岁
    汤淼曾给他打替补
  • 05 美国正式承认耶路撒冷为以色列首都
    中方回应
  • 06 中国驻澳洲大使馆斥澳媒冷战思维
    澳媒:中国狂怒
  • 07 视频丨乌鲁木齐航空回应“空姐吃多份乘客飞机餐”
  • 08 这种东西价格暴涨20倍
    存黄金还不如囤它?(图)
  • 09 外交部:印度无人机在中印边界锡金段侵入中方领空
  • 10 “70后”周亮任银监会副主席
    曾是王岐山秘书

另据知道创宇旗下的网络空间搜索引擎ZoomEye统计,中国目前至少有13000台服务器存在破壳漏洞,全球大概有140000台主机存在风险。

热评排行

  • 01
    《星速客SHOOT》黄子韬释放自信一刻
  • 02
    感谢野粉一路陪伴!10万礼品送138个粉丝!平台开~金主省钱白菜君
  • 03
    媒体披露给田亮压分的领导
    原来是大名鼎鼎的她
  • 04 一个62岁的老汉独自抚养女儿长大出嫁,跟女儿住了几天,公公婆婆却为此闹气。为了不
  • 05 55开卢本伟开播
  • 06 小鱼儿想和小山竹挨着坐《爸爸去哪儿5》之《爸爸带娃记》小鱼儿为了和小山竹挨着坐,
  • 07 一起同过窗片花欣赏
  • 08 五五开封号事件当事人卢本伟在直播中解释:承认小号开挂被封,是因为朋友用他号给他演
  • 09 爱回收哈哈哈哈哈
  • 10 各种意境优美的日式风景画
    竟然是个老爷爷用Excel画的

知道创宇技术副总裁钟晨鸣称,最近三四年,国内持续泄露的互联网数据,国内总量级达到50亿条用户账户信息。
知道创宇是全球知名的互联网安全公司,其创始团队在互联网安全领域服务了十多年,不久前还承担了APEC期间新闻平台网络安全工作。

图片故事

  • 图片 18
    中越跨国上班
  • 图片 19
    在我这儿,没有可以扔的垃圾
  • 图片 20
    血染的风采:建国后我军打过哪些大仗?
  • 图片 21
    新浪图片《政面》16期:格前总统被捕
    支持者砸警车救驾

此外,腾讯手机管家安全专家陆兆华对21世纪经济报道记者表示,在互联网黑色产业链内部,成员还存在数据库共享的机制,非常容易就获取到不同平台被成功拖库的信息,而用户的敏感信息比如身份证信息、电话号码、常用密码都是相对不变的,一旦泄漏就会给用户造成持续的影响。

新媒体实验室

  • 图片 22
    特朗普说过的“中国话”
  • 图片 23
    中国政要丨新浪新闻中共十九大特别策划
  • 图片 24
    习近平的中国足迹
  • 图片 25
    聆听习语,读懂十八大后的中国

在此事件的发生上一周,由国家信息安全漏洞共享平台发布的信息安全漏洞周报显示,2014
年 12 月 15 日至2014 年 12 月 21 日,国家信息安全漏洞共享平台(以下简称
CNVD)本周共收集、整理信息安全漏洞 144
个。上述漏洞中,可利用来实施远程攻击的漏洞有 128
个。截至报告发布时间,已有 119 个漏洞由厂商提供了修补方案。

热点博客

  • 独家:妙玉扮演者回应为女德班站台
  • 刘仰:我不想再挖苦奥巴马了
  • 1812年图册:俄罗斯人的休闲和风俗
  • 恐怖故事:我想吃乌图库叔叔的蛋糕
  • 年度最美电影!看完整个人快要哭死
  • 男闺蜜当众示爱,女人都会反感吗?
  • 科普:森林火灾到底有多可怕(图)

猎豹移动安全专家李铁军指出,中国的互联网化进程非常快,很多传统行业,比如政府、医疗、航空、保险等等,都采用信息化开发业务。但是,这些企业的安全意识转变并没有跟上,企业的安全管理、安全人才储备不足,很容易被攻击,造成信息泄露。“所以,有的客户刚刚订了机票,就收到机票相关的诈骗电话、短信。”

秒拍精选

图片 26
不看脸你还爱TA吗

图片 27
会撩妹的爸是啥体验

图片 28
咸香浓郁的牙签肉

图片 29
新闻主播在鬼屋报道

新浪新闻意见反馈留言板
400-690-0000 欢迎批评指正

  • 新浪简介 |
    广告服务 | About
    Sina
  • 联系我们 |
    招聘信息 |
    通行证注册
  • 产品答疑 |
    网站律师 | SINA
    English

违法和不良信息举报电话:010-62675637
举报邮箱:jubao@vip.sina.com

Copyright © 1996-2017 SINA Corporation

All Rights Reserved 新浪公司
版权所有

北京银库副总裁杜占源对21世纪经济报道记者表示,对于绝大多数的数据泄露来讲是因为网站自身存在安全漏洞引起的。目前很多非金融类的网站也进行实名制,但这些网站未必采取了很好的安全措施,一旦这类网站存在漏洞,用户身份证的关键信息必然泄露。

据央行制定的《银行卡收单业务管理办法》规定,“收单单位不得以任何形式储存银行卡的敏感信息”,但一些网站往往突破此规定。在携程网“漏洞门”事件中,携程网坚持没有过度搜集用户信息,其理由是:“未扣款成功的CVV码信息会被暂存7天,目的是协助用户便捷支付。”

12306泄露事件发生至今,尚未暴出泄露的个人信息中包括用户购票的银行卡信息。

泄露事件同样引起了对网络实名制的讨论。“韩国网络实名制半途而废的原因,就是无法解决大规模个人信息泄露问题”,中国政法大学传播法研究中心研究员朱巍说。他建议,我国网络实名制实行过程中,可以考虑规定商业网站无权保管个人核心信息,转由安保等级更高的公安部平台管理。

侵权责任如何划分?

2012年12月28日,全国人大常委会通过《关于加强网络信息保护的决定》后,网络个人信息保护有了法律依据。今年3月15日施行的新《消费者权益保护法》也增加了保护消费者个人信息的规定。

最新的司法依据是10月9日,最高法院公布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,其中首次列举了个人隐私的范围。

“泄露个人信息者一定要承担相应的侵权责任,问题是谁来承担”,朱巍告诉记者。

“如果是12306泄露,要区分为故意泄露还是过失泄露,故意泄露毫无疑问要承担侵权责任”,朱巍说,“在国外,故意泄露还可以区分为出于商业目的还是非商业目的,如果是商业目的要加大处分力度,但国内司法没有这样的区分”。

如果12306是出于过失导致信息泄露,司法实践中会采用过错推定原则确定侵权责任,“即先推定12306存在过错,然后由12306举证,证明自己尽到了安保责任”,朱巍说。

朱巍认为,如果存在12306作为开放平台,通过开放端口与第三方平台进行授权合作的情况,即使信息是经第三方泄露,12306也应承担连带责任。

“这几乎是整个互联网产业的‘通病’,比如用户注册了一家互联网服务,结果发现自己的信息被授权给了这家网站的合作方”,朱巍说。

他认为,哪怕用户在注册互联网服务时,对方已经提醒其个人信息可以授权转让给合作方,这也不能成为用户信息泄露时其免责的理由,“因为这是格式合同,用户如果拒绝就不能完成注册”,朱巍说。

只不过,承担连带责任的网站,可以按照和第三方网站的内部责任划分约定,向直接泄露信息的第三方追偿。

“最后一种情况是12306根本不知情,信息泄露源于不可抗力,但12306也要证明自己尽到了安保义务”,朱巍说。

相关文章