鐵路購票12306網(wǎng)站懸賞查漏洞 最高獎2千
2014-12-29 08:31:00 來源:中國廣播網(wǎng) 說兩句 分享到:
央廣網(wǎng)北京12月29日消息 據(jù)中國之聲《新聞縱橫》報道,最近幾天,中國鐵路客戶服務(wù)中心12306網(wǎng)站用戶數(shù)據(jù)泄露事件成為了大眾關(guān)注的焦點,鐵路警方也迅速抓獲了泄密的嫌疑人。而就在前天,12306網(wǎng)站出現(xiàn)了全球最大漏洞影響平臺“補天”上,最高“懸賞”2000元,號召網(wǎng)友提供漏洞信息。
2000塊錢的最高獎勵,有人說“不錯,這是個好主意”,也有人說覺得“太少了,根本不具魅力”。金額高低,業(yè)內(nèi)怎么看?出資懸賞查找網(wǎng)站漏洞,到底能夠幫助12306解決多少問題呢?來聽中央臺記者柴華的報道:
懸賞尋找在逃疑犯的線索,這樣的事情自古就有。而懸賞尋找自己網(wǎng)絡(luò)漏洞的,卻是最近幾年才冒出來的新生事物。盡管12306網(wǎng)站并沒有大張旗鼓地宣揚,但前天開始,它的名字已經(jīng)赫然出現(xiàn)在了“補天“——這個被稱作全球最大的漏洞響應(yīng)應(yīng)平臺的首頁上。這究竟是個什么網(wǎng)站?它是如何獲得那么多漏洞信息的呢?360補天漏洞響應(yīng)平臺中心負責(zé)人趙武解釋說:
趙武:不止是12306,有很多廠商都有很多安全漏洞,但是他可能沒有這個搜集的渠道,因為他不會跟這個成千上萬的白帽子建立一種聯(lián)系,我們其實的作用就在于跟這些成千上萬的白帽子,建立了一種比較順暢的聯(lián)系。同時這次12306介入進來是有一個契機,因為當(dāng)時白帽子已經(jīng)發(fā)現(xiàn)了幾個12306的漏洞,提交到我們平臺來了,我們在通知給12306過程中,12306覺得這個通知的流程是對他們是很有價值的,而且那些漏洞也是有價值的,于是他就說,能不能通過建立一種私有的有現(xiàn)金獎勵的,白帽子發(fā)漏洞的積極性就會大很多。
趙武口中的“白帽子”聽上去就是一群網(wǎng)絡(luò)高手,實際上,有人認為可以將他們理解成是正義的“黑客”。他們擅長網(wǎng)絡(luò)技術(shù)、樂于尋找漏洞,但是白帽子的做法不是依靠攻擊漏洞牟利,而是將漏洞公開、提交企業(yè),幫助他們改善網(wǎng)絡(luò)。記者登陸補天平臺網(wǎng)站看到,12306網(wǎng)站赫然顯示在了首頁的顯著位置。截至發(fā)稿時,已經(jīng)有22個人提交了漏洞,發(fā)現(xiàn)的有效漏洞達到19條,領(lǐng)走的獎金總額達到了4350元。不過,最高2000塊錢的“懸賞”金額一度被廠家自主降低到了1000塊錢,到昨天晚間恢復(fù)到2000塊,似乎也說明了,這個價錢是隨行就市的。趙武表示,加入“私有安全”行列并提出獎金可以大大提高白帽子們提供漏洞信息的積極性:
趙武:他是一個漏洞2000,上不封頂,比如說我收到一百個,可能就是二十萬,收到一千個可能就是兩百萬,通過這種模式,昨天已經(jīng)通報大概十幾個漏洞給12306,以后這種合作就形成一種長期有效的形式了,只要有白帽子,在互聯(lián)網(wǎng)上發(fā)現(xiàn)了12306的漏洞,我們都會第一時間通知給12306進行一個修補。
而在網(wǎng)絡(luò)上這一新聞的各種評論中,網(wǎng)友們對于12306“懸賞2000元查找漏洞”的看法卻不太一樣。有人說“不錯,這是個好主意”,有人卻覺得“太少了,根本不具魅力,起碼一條得給1萬塊錢”。采訪中,互聯(lián)網(wǎng)業(yè)內(nèi)人士對于12306的這一舉動卻多數(shù)持肯定態(tài)度。他們認為,錢多少其實不重要,尋找漏洞的態(tài)度才可貴:
業(yè)內(nèi)人士:也就是有一些人,他會比較熱心,他會去,一方面是證明自己,另外一方面也是確實是有這種公益心,工程師他會去主動去給網(wǎng)站去找漏洞,他們其實追求的就是一個社會的認可,廠商一般會給他們一些回饋,比如說是給U盤或者說是發(fā)現(xiàn)幾個bug送個iPad之類的。但也不是人人有,也是漏洞達到一定級別,才會給這種東西。但是對于想要找漏洞的這些人,也不是為了這個,因為他投入這個時間和成本是遠遠超過廠商所能給他的回饋的,所以他追求的肯定不是錢,真正能拿到這個東西做壞事的這些人,他能拿到東西,能變現(xiàn)更多的錢。所以說兩千塊錢,我認為這是一個比較好的態(tài)度吧,至少在社會輿論上,他是在想去解決這個問題嘛。
而此前,有媒體報道稱,大量12306網(wǎng)站用戶信息遭泄露,已知公開傳播的數(shù)據(jù)庫涉及的用戶數(shù)據(jù)超過了13萬條。盡管嫌疑人迅速被抓獲,也查明是利用網(wǎng)上別的用戶信息一個個嘗試“撞庫”得到的,相關(guān)的12306手機APP漏洞也已經(jīng)修復(fù),但由此造成的信息泄露損失卻是覆水難收了。趙武表示,在360補天平臺上建立私有安全應(yīng)急響應(yīng)中心可以主動防御今后再出現(xiàn)類似情況:
趙武:因為導(dǎo)致的信息泄露,或者是黑客攻擊,都是由于存在某些漏洞,所以我們現(xiàn)在這種合作,以后會定期的,陸續(xù)的把這種發(fā)現(xiàn)的漏洞都通報給12306,他們只要進行及時的修補,撞庫它就不成功了。
我們希望12306這次的懸賞查漏是“亡羊補牢,未為晚也”。其實自從12306網(wǎng)絡(luò)訂票系統(tǒng)正式投入使用至今,似乎隔不了多長時間,我們就能聽到類似的系統(tǒng)漏洞的消息,比如說這高峰期網(wǎng)頁打不開、驗證碼輸入不正確、余票信息不準確等等。每次“春運”、“黃金周”、暑假客流高峰過后,對于12306的各種吐槽,好像成了大家的習(xí)慣性動作,很多人也就見怪不怪了。
“一票難求”,可能短時間之內(nèi)無法完全的解決。但是更完善、更人性化的售票平臺或許能讓旅客們感受到鐵路部門的誠意。吐槽歸吐槽,對于成長當(dāng)中的12306,我們還要多一些耐心。
編輯:張喬
相關(guān)新聞
頭條推薦
參與討論
我想說