由12306泄密事件看個人信息保護

摘要：12306用戶數據大量泄露事件，導致個人信息不安全。本文分析12306事件過程，及其使用的攻擊手段：“撞庫攻擊”，并分析事件特點，提出應對措施。

關鍵詞：12306；數據泄露；撞庫攻擊；個人信息

中圖分類號：D920.4文獻標識碼：A文章編號：1671-864X（2016）09-0065-01

一、數據泄露事件

2014年12月25日上午10：59，烏云網發布漏洞報告稱，大量12306用戶數據在網絡上瘋狂傳播。本次泄露事件被泄露的數據達131653 條，包括用戶賬號、明文密碼、身份證和郵箱等多種信息，共約14M數據。這不是12306網站第一次發生用戶信息泄露事件了，但是最大的一次。

二、數據泄露分析

（一）數據盜取方式：撞庫攻擊。

是以技術含量最高、最為隱蔽的職業黑客為主，他們通過攻擊系統安全漏洞，編寫木馬實施入侵，獲取數據，這一過程可分為3個階段：拖庫、洗庫和撞庫。拖庫也被稱為“脫庫”，是黑色產業的一個術語，黑客利用漏洞入侵有價值的網站，盜走目標數據庫。2014年5月，小米官方論壇800萬用戶的賬戶信息被拖庫。拖庫成功后，黑客接著會進行洗庫工作，即利用技術手段清洗、篩選數據資料，提煉出有價值的用戶數據，以便將來用于變現。通過拖庫、洗庫得到用戶數據資料后，一些黑客拿著這些用戶數據在其他網站嘗試登錄，稱為撞庫。因為不少人習慣于在不同的網站使用相同或相似的用戶賬號和密碼進行注冊，這就為用“撞庫”的方式獲得更多的數據提供了可能。

（一）第三方數據泄露問題。

第三方數據泄露是指在一些企業中，某些系統軟件平臺的開發、運行、維護等多項工作常常外包給第三方完成，或者與多個第三方合作完成，由于第三方數據管理不當和系統漏洞而造成的數據泄露。第三方數據泄露也分為有意識和無意識地的泄露，有意識泄露，即指第三方運營人員以營利為目的，從數據庫中竊取大量客戶信息進行倒賣，如某技術公司承擔著為陜西某電信企業提供手機資費計算系統軟件平臺開發、維護等工作，其中某員工倒賣用戶信息謀取利益。大數據時代，使得越來越多的企業委托第三方進行數據存儲和管理，數據共享也日益成為企業之間合作的主要內容之一，因而導致接觸企業數據的人員增加，數據泄露風險無形增大。2008 年Verizon 數據泄露調查報告中指出，39% 的泄露涉及受害者的合作伙伴，30%涉及多方合作。

（三）電商數據泄露將成為新的泄露重點。

2012 年 11 月 1 號店客戶信息遭其員工泄露、美第二大團購網站遭黑客攻擊5 000萬用戶信息或泄露等等，除此之外，電商網站賬戶泄露或盜號的事情更是頻繁出現。近兩年內包括京東、1 號店、蘇寧和支付寶等在內的電商集團，以及美電商巨頭 Ebay 都曾出現過客戶數據泄露事件。電商數據真正體現了大數據的多樣化，不僅涉及個人信息、消費記錄、購買周期等文本信息，還涉及瀏覽記錄、興趣偏好、點擊量等多媒體信息。

（四）數據泄露重復發生。

在這些數據泄露案件中，數據的反復泄露值得重視。索尼公司泄露高達三次，第三次黑客攻擊損失或超 10 億美元，谷歌、當當網、塔吉特等公司的數據也曾重復泄露。

三、應對措施

（一）應對撞庫攻擊。

在口令設置上要允許一般站點重復使用弱口令。在這些非重要站點上避免浪費過多的精力，才能保證更好地記住那些復雜獨特的口令并運用在重要的賬戶設置上。同時，應當注意避免在重要站點上重復使用弱口令。比如，涉及用戶錢財的網上銀行賬戶、支付寶賬戶，關系個人切身利益的購票網站、郵箱賬號等，必須獨立設置復雜獨特的口令。如此，才能有效防范黑客的“撞庫攻擊”。

（二）應對第三方泄露。

此次12306個人信息泄露事件就屬于第三方數據泄露問題。對于此類數據泄露，第三方組織能否像數據所有方一樣重視數據，規范管理，保證數據安全至關重要。如果不能，最基礎的應做到權責明晰，與各第三方簽署協議，加強評估與管理，本著誰泄露誰負責的原則，劃清責任范圍，減少數據泄露風險，降低損失。

（三）應對電商數據泄露。

在技術方面，加強自身技術防護，如加強加密防護與權限防護，加密技術能夠降低信息被非法獲取并訪問的風險，適用于保護個體文件或整個存儲介質。加強安全基礎設施建設，部署包括數據泄露防護、網絡安全、端點安全、加密、驗證和信譽技術在內的安全防御系統，并實時監測與定點記錄。這樣既可以主動防御黑客入侵，又可以及時發現自身安全漏洞。

（四）應對數據重復泄露。

數據重復泄露體現對數據管理上的不足。因此，應將數據防護納入常態化的管理，7×24 小時數據監測、快速反應的應急預案以及其他管理措施都是必不可少的。

四、總結

大數據時代，網絡用戶在互聯網的個人信息、評論、圖片、興趣愛好、交易信息、訪問網站等等均被企業記錄在案。加上功能強大的數據挖掘技術，使得信息之間相互關聯，數據一經泄露，個人信息安全面臨極大的威脅。這不僅使個人隱私得不到應有的保護，而且人身安全、財產安全也會受到威脅。對于個人而言，輕則經常受到垃圾短信、電話、推送郵件的騷擾，重則導致詐騙案件、個人名譽受損、存款流失等事件的發生。數據泄露與每個人的切身利益息息相關，影響著個人的生活與社會的穩定。在這個新媒體、大數據快速傳播的時代，我們每個人都會在互聯網上顯山露水，我們的個人信息也都會主動或被動地出現在互聯網上。因此，保護好個人信息，是一個重大的時代命題，亟需引起各級政府的高度重視，并身體力行實踐之。

參考文獻：

[1]董楊慧：大數據視野下的數據泄露與安全管理——基于90 個數據泄露事件的分析。情報雜志。第33卷第11期。154-158

[2]侯林：互聯網數據泄露背后的黑色產業鏈及發展趨勢分析。無限互聯科技。第20期。35-37

[3]傅國：也談口令設置那點事兒。信息安全。2015年第1期。50

[4]閆利平：亟需被保護的個人信息。人民公仆。學會與媒體打交道。2015年5月號。65-69

[5]熊璐：從12306網站用戶數據泄露看大數據時代的數據風險。科技與創新。2016年第2期。29

[6]楊力：12306網站信息泄露事件的法律對策探討。信息安全與通信保密。2015.01.46

作者簡介：王瑩（1994.03-），漢族，女，吉林人，工作單位：國際關系學院。