从今日(12月26日)起,旅客可以通过网络购买明年2月23日大年初五的车票,春运返程抢票高峰也随即到来。这时官方购票网站12306却被曝用户资料大量泄露,很多用户身份证、邮箱等敏感信息在网络上流传,给广大旅客造成信息安全威胁。对此,12306网站迅速回应道,网上泄露信息应该来自其他渠道,同时提醒用户不要用第三方抢票软件。
正值春运购票高峰,12306网站无疑形成了一个规模空前的临时性数据库,囊括了各个群体、各个地域、各种阶层的人群信息,几乎可以为信息买卖提供各种可能性。其衍生风险可能包括,邮箱被撞库(黑客拿12306泄露的用户名密码去尝试登录邮箱),更多个人信息因此被盗;手机号、身份证号、行程被泄露,骗子可能以退票为借口行骗或进行金融诈骗;12306的数据实际还包含亲友信息,可能导致事件的影响面拓展。另外,据新闻报道,已有受害者遭遇恶作剧,预订的火车票被恶意退票。
因为此次泄露信息全部含有用户的明文密码,而非12306网站数据库多次加密的非明文转换码,所以虽然事件还在调查中,专家怀疑的对象已指向第三方抢票软件和第三方购票平台。另有两个新闻背景可能会加深这种疑虑,其一是在春运购票开始之时,就有专家借媒体提醒,第三方购票软件是一种托管服务,很可能带来信息泄露;其二是,就在今年三月发生的“携程漏洞门”事件,曾导致大量用户银行卡信息泄露,携程后来仅以赔偿“每人500元礼品卡”善后,并最终不了了之。
值得注意的是,携程漏洞仅涉及到了不足百名的用户,此次12306数据的泄露,却涉及到逾十三万人。即便中国百姓已把信息泄露当做家常便饭,几乎每天都要见识垃圾短信、广告电话、购物陷阱、金融诈骗,这样大规模、全信息的泄露还是令人心惊肉跳。此次泄露,可以看做是对公众信息泄露的批量展示,对公共信息安全的真实展演。而12306官网剑指第三方购票软件,第三方购票软件却纷纷站出来撇清的现状,也再次表明,我们的信息安全还建立在脆弱的行业自律和企业的自说自话上。
系统的个人信息保护立法不知何时才能落地,惩罚性赔偿制度仍然还在专家呼吁中。我们面临的现状是,在一个网民数量超过六亿的国度里,在一个互联网社交、购物、金融已成为公众日常生活方式的社会里,既没有法律专门规制公权力使用公民信息的行为,也没有法律能有效约束金融、电信、交通、教育、医疗等大众服务类企业的泄露信息行为,结果就是,泄露信息者毫无成本,被泄露者只能认栽。
因为数量巨大,并打通了“春运”和“个人信息泄露”两个新闻热点,此次12306数据外泄显得尤为刺目,尤为让人恐慌。但说白了,它不过是忽然揭开了幕布的一角,让每天乃至每时每刻都在发生的信息交易出现在了舆论的聚光灯之下。真正让人恐慌的是,没有个人信息保护的法治化,哪怕一遍一遍揭起这幕布,它也会一遍一遍悄无声息地盖回去。
(光明网 秩名)