12306用户信息泄露背后的黑色产业链（4）

黑色产业链

安扬对21世纪经济报道记者介绍，目前在互联网上公开流传的用户数据很多，仅2012年CSDN、天涯的泄露数据就超过2亿条，今年还出现了携程、如家、当当的泄露事件。

另据知道创宇旗下的网络空间搜索引擎ZoomEye统计，中国目前至少有13000台服务器存在破壳漏洞，全球大概有140000台主机存在风险。

知道创宇技术副总裁钟晨鸣称，最近三四年，国内持续泄露的互联网数据，国内总量级达到50亿条用户账户信息。知道创宇是全球知名的互联网安全公司，其创始团队在互联网安全领域服务了十多年，不久前还承担了APEC期间新闻平台网络安全工作。

此外，腾讯手机管家安全专家陆兆华对21世纪经济报道记者表示，在互联网黑色产业链内部，成员还存在数据库共享的机制，非常容易就获取到不同平台被成功拖库的信息，而用户的敏感信息比如身份证信息、电话号码、常用密码都是相对不变的，一旦泄漏就会给用户造成持续的影响。

在此事件的发生上一周，由国家信息安全漏洞共享平台发布的信息安全漏洞周报显示，2014年12月15日至2014年12月21日，国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞144个。上述漏洞中，可利用来实施远程攻击的漏洞有128个。截至报告发布时间，已有119个漏洞由厂商提供了修补方案。

猎豹移动安全专家李铁军指出，中国的互联网化进程非常快，很多传统行业，比如政府、医疗、航空、保险等等，都采用信息化开发业务。但是，这些企业的安全意识转变并没有跟上，企业的安全管理、安全人才储备不足，很容易被攻击，造成信息泄露。“所以，有的客户刚刚订了机票，就收到机票相关的诈骗电话、短信。”

北京银库副总裁杜占源对21世纪经济报道记者表示，对于绝大多数的数据泄露来讲是因为网站自身存在安全漏洞引起的。目前很多非金融类的网站也进行实名制，但这些网站未必采取了很好的安全措施，一旦这类网站存在漏洞，用户身份证的关键信息必然泄露。

据央行制定的《银行卡收单业务管理办法》规定，“收单单位不得以任何形式储存银行卡的敏感信息”，但一些网站往往突破此规定。在携程网“漏洞门”事件中，携程网坚持没有过度搜集用户信息，其理由是：“未扣款成功的CVV码信息会被暂存7天，目的是协助用户便捷支付。”

12306泄露事件发生至今，尚未暴出泄露的个人信息中包括用户购票的银行卡信息。

泄露事件同样引起了对网络实名制的讨论。“韩国网络实名制半途而废的原因，就是无法解决大规模个人信息泄露问题”，中国政法大学传播法研究中心研究员朱巍说。他建议，我国网络实名制实行过程中，可以考虑规定商业网站无权保管个人核心信息，转由安保等级更高的公安部平台管理。