摘要：12306用戶數(shù)據(jù)大量泄露事件，導(dǎo)致個(gè)人信息不安全。本文分析12306事件過程，及其使用的攻擊手段：“撞庫攻擊”，并分析事件特點(diǎn)，提出應(yīng)對(duì)措施。

關(guān)鍵詞：12306；數(shù)據(jù)泄露；撞庫攻擊；個(gè)人信息

中圖分類號(hào)：D920.4文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671-864X（2016）09-0065-01

一、數(shù)據(jù)泄露事件

2014年12月25日上午10：59，烏云網(wǎng)發(fā)布漏洞報(bào)告稱，大量12306用戶數(shù)據(jù)在網(wǎng)絡(luò)上瘋狂傳播。本次泄露事件被泄露的數(shù)據(jù)達(dá)131653 條，包括用戶賬號(hào)、明文密碼、身份證和郵箱等多種信息，共約14M數(shù)據(jù)。這不是12306網(wǎng)站第一次發(fā)生用戶信息泄露事件了，但是最大的一次。

二、數(shù)據(jù)泄露分析

（一）數(shù)據(jù)盜取方式：撞庫攻擊。

是以技術(shù)含量最高、最為隱蔽的職業(yè)黑客為主，他們通過攻擊系統(tǒng)安全漏洞，編寫木馬實(shí)施入侵，獲取數(shù)據(jù)，這一過程可分為3個(gè)階段：拖庫、洗庫和撞庫。拖庫也被稱為“脫庫”，是黑色產(chǎn)業(yè)的一個(gè)術(shù)語，黑客利用漏洞入侵有價(jià)值的網(wǎng)站，盜走目標(biāo)數(shù)據(jù)庫。2014年5月，小米官方論壇800萬用戶的賬戶信息被拖庫。拖庫成功后，黑客接著會(huì)進(jìn)行洗庫工作，即利用技術(shù)手段清洗、篩選數(shù)據(jù)資料，提煉出有價(jià)值的用戶數(shù)據(jù)，以便將來用于變現(xiàn)。通過拖庫、洗庫得到用戶數(shù)據(jù)資料后，一些黑客拿著這些用戶數(shù)據(jù)在其他網(wǎng)站嘗試登錄，稱為撞庫。因?yàn)椴簧偃肆?xí)慣于在不同的網(wǎng)站使用相同或相似的用戶賬號(hào)和密碼進(jìn)行注冊(cè)，這就為用“撞庫”的方式獲得更多的數(shù)據(jù)提供了可能。

（一）第三方數(shù)據(jù)泄露問題。

第三方數(shù)據(jù)泄露是指在一些企業(yè)中，某些系統(tǒng)軟件平臺(tái)的開發(fā)、運(yùn)行、維護(hù)等多項(xiàng)工作常常外包給第三方完成，或者與多個(gè)第三方合作完成，由于第三方數(shù)據(jù)管理不當(dāng)和系統(tǒng)漏洞而造成的數(shù)據(jù)泄露。第三方數(shù)據(jù)泄露也分為有意識(shí)和無意識(shí)地的泄露，有意識(shí)泄露，即指第三方運(yùn)營(yíng)人員以營(yíng)利為目的，從數(shù)據(jù)庫中竊取大量客戶信息進(jìn)行倒賣，如某技術(shù)公司承擔(dān)著為陜西某電信企業(yè)提供手機(jī)資費(fèi)計(jì)算系統(tǒng)軟件平臺(tái)開發(fā)、維護(hù)等工作，其中某員工倒賣用戶信息謀取利益。大數(shù)據(jù)時(shí)代，使得越來越多的企業(yè)委托第三方進(jìn)行數(shù)據(jù)存儲(chǔ)和管理，數(shù)據(jù)共享也日益成為企業(yè)之間合作的主要內(nèi)容之一，因而導(dǎo)致接觸企業(yè)數(shù)據(jù)的人員增加，數(shù)據(jù)泄露風(fēng)險(xiǎn)無形增大。2008 年Verizon 數(shù)據(jù)泄露調(diào)查報(bào)告中指出，39% 的泄露涉及受害者的合作伙伴，30%涉及多方合作。

（三）電商數(shù)據(jù)泄露將成為新的泄露重點(diǎn)。

2012 年 11 月 1 號(hào)店客戶信息遭其員工泄露、美第二大團(tuán)購網(wǎng)站遭黑客攻擊5 000萬用戶信息或泄露等等，除此之外，電商網(wǎng)站賬戶泄露或盜號(hào)的事情更是頻繁出現(xiàn)。近兩年內(nèi)包括京東、1 號(hào)店、蘇寧和支付寶等在內(nèi)的電商集團(tuán)，以及美電商巨頭 Ebay 都曾出現(xiàn)過客戶數(shù)據(jù)泄露事件。電商數(shù)據(jù)真正體現(xiàn)了大數(shù)據(jù)的多樣化，不僅涉及個(gè)人信息、消費(fèi)記錄、購買周期等文本信息，還涉及瀏覽記錄、興趣偏好、點(diǎn)擊量等多媒體信息。

（四）數(shù)據(jù)泄露重復(fù)發(fā)生。

在這些數(shù)據(jù)泄露案件中，數(shù)據(jù)的反復(fù)泄露值得重視。索尼公司泄露高達(dá)三次，第三次黑客攻擊損失或超 10 億美元，谷歌、當(dāng)當(dāng)網(wǎng)、塔吉特等公司的數(shù)據(jù)也曾重復(fù)泄露。

三、應(yīng)對(duì)措施

（一）應(yīng)對(duì)撞庫攻擊。

在口令設(shè)置上要允許一般站點(diǎn)重復(fù)使用弱口令。在這些非重要站點(diǎn)上避免浪費(fèi)過多的精力，才能保證更好地記住那些復(fù)雜獨(dú)特的口令并運(yùn)用在重要的賬戶設(shè)置上。同時(shí)，應(yīng)當(dāng)注意避免在重要站點(diǎn)上重復(fù)使用弱口令。比如，涉及用戶錢財(cái)?shù)木W(wǎng)上銀行賬戶、支付寶賬戶，關(guān)系個(gè)人切身利益的購票網(wǎng)站、郵箱賬號(hào)等，必須獨(dú)立設(shè)置復(fù)雜獨(dú)特的口令。如此，才能有效防范黑客的“撞庫攻擊”。

（二）應(yīng)對(duì)第三方泄露。

此次12306個(gè)人信息泄露事件就屬于第三方數(shù)據(jù)泄露問題。對(duì)于此類數(shù)據(jù)泄露，第三方組織能否像數(shù)據(jù)所有方一樣重視數(shù)據(jù)，規(guī)范管理，保證數(shù)據(jù)安全至關(guān)重要。如果不能，最基礎(chǔ)的應(yīng)做到權(quán)責(zé)明晰，與各第三方簽署協(xié)議，加強(qiáng)評(píng)估與管理，本著誰泄露誰負(fù)責(zé)的原則，劃清責(zé)任范圍，減少數(shù)據(jù)泄露風(fēng)險(xiǎn)，降低損失。

（三）應(yīng)對(duì)電商數(shù)據(jù)泄露。

在技術(shù)方面，加強(qiáng)自身技術(shù)防護(hù)，如加強(qiáng)加密防護(hù)與權(quán)限防護(hù)，加密技術(shù)能夠降低信息被非法獲取并訪問的風(fēng)險(xiǎn)，適用于保護(hù)個(gè)體文件或整個(gè)存儲(chǔ)介質(zhì)。加強(qiáng)安全基礎(chǔ)設(shè)施建設(shè)，部署包括數(shù)據(jù)泄露防護(hù)、網(wǎng)絡(luò)安全、端點(diǎn)安全、加密、驗(yàn)證和信譽(yù)技術(shù)在內(nèi)的安全防御系統(tǒng)，并實(shí)時(shí)監(jiān)測(cè)與定點(diǎn)記錄。這樣既可以主動(dòng)防御黑客入侵，又可以及時(shí)發(fā)現(xiàn)自身安全漏洞。

（四）應(yīng)對(duì)數(shù)據(jù)重復(fù)泄露。

數(shù)據(jù)重復(fù)泄露體現(xiàn)對(duì)數(shù)據(jù)管理上的不足。因此，應(yīng)將數(shù)據(jù)防護(hù)納入常態(tài)化的管理，7×24 小時(shí)數(shù)據(jù)監(jiān)測(cè)、快速反應(yīng)的應(yīng)急預(yù)案以及其他管理措施都是必不可少的。

四、總結(jié)

大數(shù)據(jù)時(shí)代，網(wǎng)絡(luò)用戶在互聯(lián)網(wǎng)的個(gè)人信息、評(píng)論、圖片、興趣愛好、交易信息、訪問網(wǎng)站等等均被企業(yè)記錄在案。加上功能強(qiáng)大的數(shù)據(jù)挖掘技術(shù)，使得信息之間相互關(guān)聯(lián)，數(shù)據(jù)一經(jīng)泄露，個(gè)人信息安全面臨極大的威脅。這不僅使個(gè)人隱私得不到應(yīng)有的保護(hù)，而且人身安全、財(cái)產(chǎn)安全也會(huì)受到威脅。對(duì)于個(gè)人而言，輕則經(jīng)常受到垃圾短信、電話、推送郵件的騷擾，重則導(dǎo)致詐騙案件、個(gè)人名譽(yù)受損、存款流失等事件的發(fā)生。數(shù)據(jù)泄露與每個(gè)人的切身利益息息相關(guān)，影響著個(gè)人的生活與社會(huì)的穩(wěn)定。在這個(gè)新媒體、大數(shù)據(jù)快速傳播的時(shí)代，我們每個(gè)人都會(huì)在互聯(lián)網(wǎng)上顯山露水，我們的個(gè)人信息也都會(huì)主動(dòng)或被動(dòng)地出現(xiàn)在互聯(lián)網(wǎng)上。因此，保護(hù)好個(gè)人信息，是一個(gè)重大的時(shí)代命題，亟需引起各級(jí)政府的高度重視，并身體力行實(shí)踐之。

參考文獻(xiàn)：

[1]董楊慧：大數(shù)據(jù)視野下的數(shù)據(jù)泄露與安全管理——基于90 個(gè)數(shù)據(jù)泄露事件的分析。情報(bào)雜志。第33卷第11期。154-158

[2]侯林：互聯(lián)網(wǎng)數(shù)據(jù)泄露背后的黑色產(chǎn)業(yè)鏈及發(fā)展趨勢(shì)分析。無限互聯(lián)科技。第20期。35-37

[3]傅國(guó)：也談口令設(shè)置那點(diǎn)事兒。信息安全。2015年第1期。50

[4]閆利平：亟需被保護(hù)的個(gè)人信息。人民公仆。學(xué)會(huì)與媒體打交道。2015年5月號(hào)。65-69

[5]熊璐：從12306網(wǎng)站用戶數(shù)據(jù)泄露看大數(shù)據(jù)時(shí)代的數(shù)據(jù)風(fēng)險(xiǎn)。科技與創(chuàng)新。2016年第2期。29

[6]楊力：12306網(wǎng)站信息泄露事件的法律對(duì)策探討。信息安全與通信保密。2015.01.46

作者簡(jiǎn)介：王瑩（1994.03-），漢族，女，吉林人，工作單位：國(guó)際關(guān)系學(xué)院。