電商中心評13萬12306用戶信息外泄事件

電商中心評13萬12306用戶信息外泄事件

                                             ——中國電子商務(wù)研究中心

一、事件概述：

12月25日上午，漏洞報告平臺烏云網(wǎng)出現(xiàn)了一則關(guān)于中國鐵路購票網(wǎng)站12306的漏洞報告，危害等級顯示為“高”，漏洞類型則是“用戶資料大量泄漏”。

據(jù)了解，這則關(guān)于12306的漏洞報告，危害登記顯示為“高”，漏洞類型則是“用戶資料大量泄漏”，這意味著，這個漏洞將有可能導(dǎo)致所有注冊了12306用戶的賬號、明文密碼、身份證、郵箱等敏感信息泄露。

瑞星公司針對12306網(wǎng)站約用戶隱私被泄露事件進行調(diào)查后發(fā)現(xiàn)，12306網(wǎng)站主域名下共有6個分站存在嚴(yán)重的Strust2框架的遠(yuǎn)程執(zhí)行漏洞。

同日，犯罪嫌疑人蔣某某、施某某被抓獲。經(jīng)過警方初步審查，兩人交代是通過收集互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個網(wǎng)站泄露的用戶名加密碼信息，嘗試登錄其他網(wǎng)站進行“撞庫”，非法獲取用戶的其他信息，并牟取非法利益。

在12306網(wǎng)站數(shù)據(jù)庫泄露之后，網(wǎng)站加入了補天漏洞響應(yīng)平臺，并且主管方中國鐵道科學(xué)研究院單次最高懸賞2000元，號召網(wǎng)友查找漏洞。截至29日，已經(jīng)有20多位網(wǎng)友提交了漏洞報告，根據(jù)發(fā)現(xiàn)漏洞的高低程度，有9位網(wǎng)友獲得50元到2000元不等的懸賞金額，累計獲得懸賞金額達(dá)4850元。

二、相關(guān)法律/法規(guī)

　——全國人大常委會2012年28日表決通過了《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，明確規(guī)定：

任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息。

公民發(fā)現(xiàn)泄露個人身份、散布個人隱私等侵害其合法權(quán)益的網(wǎng)絡(luò)信息，或者受到商業(yè)性電子信息侵?jǐn)_的，有權(quán)要求網(wǎng)絡(luò)服務(wù)提供者刪除有關(guān)信息或者采取其他必要措施予以制止。

網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位及其工作人員對在業(yè)務(wù)活動中收集的公民個人電子信息必須嚴(yán)格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供。

　——《網(wǎng)絡(luò)交易管理辦法》第十八條規(guī)定：

網(wǎng)絡(luò)商品經(jīng)營者、有關(guān)服務(wù)經(jīng)營者在經(jīng)營活動中收集、使用消費者或者經(jīng)營者信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)商品經(jīng)營者、有關(guān)服務(wù)經(jīng)營者收集、使用消費者或者經(jīng)營者信息，應(yīng)當(dāng)公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。

網(wǎng)絡(luò)商品經(jīng)營者、有關(guān)服務(wù)經(jīng)營者及其工作人員對收集的消費者個人信息或者經(jīng)營者商業(yè)秘密的數(shù)據(jù)信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供。網(wǎng)絡(luò)商品經(jīng)營者、有關(guān)服務(wù)經(jīng)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時，應(yīng)當(dāng)立即采取補救措施。

三、專家觀點：

對此，中國電子商務(wù)研究中心特約研究員、廣州金鵬律師事務(wù)所合伙人詹朝霞律師認(rèn)為：

　　——違法成本低，法律監(jiān)管缺失是“泄密”事件再三出現(xiàn)的根源！

從法律層面來看，各類服務(wù)提供商，基于提供服務(wù)所采集的用戶信息數(shù)據(jù)，具有嚴(yán)格保密的法律義務(wù)，類似的規(guī)定散見于國家工商總局發(fā)布的《網(wǎng)絡(luò)交易管理辦法》、《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》等相關(guān)法律法規(guī)規(guī)章中，雖然規(guī)定不少，但相關(guān)規(guī)定中卻沒有設(shè)置任何對應(yīng)的處罰措施，違法成本極低。

在日益繁雜多變的網(wǎng)絡(luò)交易中，服務(wù)商們忙于應(yīng)付各種生意，對于用戶信息保密僅僅是基于商業(yè)道德或品牌榮譽的角度，其實施力度可想而知?？梢院敛豢鋸埖卣f，法律監(jiān)管的缺失是類似事件一而再再而三爆發(fā)的根本。行政主管部門，比如工商局、銀監(jiān)會、證監(jiān)會、通管局等相關(guān)部門應(yīng)該形成聯(lián)動機制，對泄露用戶信息的行為甚至是“出賣”用戶信息的行為進行狠狠打擊，還消費者以安全，還消費者以放心。

對此，中國電子商務(wù)研究中心特約研究員、浙江澤大律師事務(wù)所付勇勇律師認(rèn)為：

　　——因商家過失導(dǎo)致消費者經(jīng)濟損失的理應(yīng)賠償！

根據(jù)《消費者權(quán)益保護法》的規(guī)定，經(jīng)營者及其工作人員對收集的消費者個人信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供。經(jīng)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止消費者個人信息泄露、丟失。

在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時，應(yīng)當(dāng)立即采取補救措施。另外，《網(wǎng)絡(luò)交易管理辦法》也有相同的規(guī)定。如果由于經(jīng)營者的過失，導(dǎo)致消費者經(jīng)濟損失的，理應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任。

對此，中國電子商務(wù)研究中心特約研究員、北京志霖律師事務(wù)所趙占領(lǐng)認(rèn)為：

　　——網(wǎng)站泄露用戶數(shù)據(jù)的保障法律仍是空白！

目前關(guān)于泄露用戶數(shù)據(jù)的安全保障法律仍是空白的，此前工信部直屬的中國軟件測評中心透露，《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》已正式通過評審，正報批國家標(biāo)準(zhǔn)。

但是，有業(yè)內(nèi)人士擔(dān)心，指南不是強制性標(biāo)準(zhǔn)，甚至也不是推薦性標(biāo)準(zhǔn)，其執(zhí)行效力如何，仍待觀察。

四、相關(guān)案例

　　支付寶賬戶交易信息泄露

2013年3月27日，有網(wǎng)友在微博上曝出，使用谷歌搜索輸入“site：shenghuo.alipay.com轉(zhuǎn)賬付款”即可看到各種轉(zhuǎn)賬信息，包括轉(zhuǎn)賬付款姓名、賬戶信息、付款金額、付款賬戶、付款說明等，數(shù)量超過2000條。很多網(wǎng)友擔(dān)心自己的信息和資金安全，表示“再也不通過支付寶轉(zhuǎn)賬了”。

對此，支付寶迅速在其官方微博在回應(yīng)中稱，支付寶生活助手轉(zhuǎn)賬付款結(jié)果頁面一般用于支付雙方展示支付結(jié)果，不含真實姓名、密碼等重要信息，支付寶對這一頁面鏈接加具了安全保護，正常情況下任何搜索引擎都無法抓取。目前已將用戶付款結(jié)果頁面做部分信息隱藏，進一步幫助用戶保護個人隱私信息。“一般”和“正常情況”的表述方式也表現(xiàn)了支付寶的態(tài)度。中國電子商務(wù)研究中心發(fā)布的專題《攜程被曝存"支付漏洞"引發(fā)互聯(lián)網(wǎng)安全問題》對此次事件進行了詳細(xì)報道。

攜程用戶信息“泄密門”

2014年3月22日，國內(nèi)網(wǎng)絡(luò)安全問題反饋平臺—烏云漏洞平臺發(fā)布消息稱，攜程系統(tǒng)存技術(shù)漏洞，可導(dǎo)致用戶個人信息、銀行卡信息等泄露；漏洞泄露信息包括用戶姓名、身份證號、銀行卡類別、銀行卡卡號、銀行卡CVV碼(卡號、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)等，上述信息可能被黑客讀取。

23日，攜程發(fā)布聲明稱，就攜程存漏洞一事，目前確認(rèn)共93人賬戶存安全風(fēng)險，并已通知相關(guān)用戶更換信用卡，并在其官方微博上表示，將給予這93名用戶每人500元任我行禮品卡作為補償。

五、專家建議

　　那么，如何防止個人信息被泄露呢？對此，中國電子商務(wù)研究中心助理分析師沈云云給出了建議：

　　——網(wǎng)站用戶信息泄露有多種可能性途徑

現(xiàn)在許多網(wǎng)站、論壇都需要用戶注冊賬號后才能正常使用。因此，每個網(wǎng)民擁有多個賬號是很平常的事情。在注冊時，網(wǎng)站一般都需要填寫一些個人信息，如常見的賬號、密碼、郵箱等，像一些電子商務(wù)、婚戀、交友網(wǎng)站等還需要實名認(rèn)證，要求填寫的信息更加詳細(xì)。

網(wǎng)站上的用戶數(shù)據(jù)泄露主要有以下幾種方式：黑客利用網(wǎng)站存在的安全漏洞入侵網(wǎng)站，盜取用戶數(shù)據(jù)庫；網(wǎng)站內(nèi)部工作人員倒賣用戶信息；通過撞庫攻擊，竊取用戶數(shù)據(jù)；利用釣魚攻擊竊取用戶信息；通過木馬、病毒竊取用戶隱私信息。

——法律條文需細(xì)化，相關(guān)部門應(yīng)適時介入

我國關(guān)于網(wǎng)絡(luò)信息安全方面的法律條文不夠明確，適用范圍尚且不夠精準(zhǔn)，相關(guān)條文必須得到進一步細(xì)化、規(guī)范，以此更加公平公正地懲治網(wǎng)絡(luò)信息安全事故的造成者，保護公民切身利益。

此類信息泄露事件不適用“不告不處理的”的原則，相反，執(zhí)法部門應(yīng)主動積極介入案件調(diào)查，并對實施者進行追責(zé)處理。

——信息安全無小事，用戶必須增強信息保護意識

警惕要求重新輸入賬號信息，否則將停掉信用卡賬號之類的郵件，不要回復(fù)或者點擊郵件的鏈接，以免落入圈套。同時，避免開啟來路不明的電子郵件及文件，安裝殺毒軟件并及時升級病毒知識庫和操作系統(tǒng)補丁，將敏感信息輸入隱私保護，打開個人防火墻。

使用網(wǎng)絡(luò)銀行時，選擇使用網(wǎng)絡(luò)憑證及約定賬戶方式進行轉(zhuǎn)賬交易，不要在網(wǎng)吧、公用計算機上和不明的地下網(wǎng)站做在線交易或轉(zhuǎn)賬。

不要在多個網(wǎng)站使用相同的注冊賬戶名以及登錄密碼，防止網(wǎng)絡(luò)黑客有意盜取，造成多個網(wǎng)站個人信息的連環(huán)失竊。

針對信息泄露案、網(wǎng)絡(luò)打假、網(wǎng)店征稅等電子商務(wù)相關(guān)的法律問題，中國電子商務(wù)研究中心發(fā)布《2013-2014年度中國電子商務(wù)法律報告》進行了詳細(xì)的解讀。