铁路购票12306网站悬赏查漏洞最高奖2千

　　央广网北京12月29日消息 据中国之声《新闻纵横》报道,最近几天,中国铁路客户服务中心12306网站用户数据泄露事件成为了大众关注的焦点,铁路警方也迅速抓获了泄密的嫌疑人。而就在前天,12306网站出现了全球最大漏洞影响平台“补天”上,最高“悬赏”2000元,号召网友提供漏洞信息。

　　2000块钱的最高奖励,有人说“不错,这是个好主意”,也有人说觉得“太少了,根本不具魅力”。金额高低,业内怎么看?出资悬赏查找网站漏洞,到底能够帮助12306解决多少问题呢?来听中央台记者柴华的报道:

　　悬赏寻找在逃疑犯的线索,这样的事情自古就有。而悬赏寻找自己网络漏洞的,却是最近几年才冒出来的新生事物。尽管12306网站并没有大张旗鼓地宣扬,但前天开始,它的名字已经赫然出现在了“补天“——这个被称作全球最大的漏洞响应应平台的首页上。这究竟是个什么网站?它是如何获得那么多漏洞信息的呢?360补天漏洞响应平台中心负责人赵武解释说:

　　赵武:不止是12306,有很多厂商都有很多安全漏洞,但是他可能没有这个搜集的渠道,因为他不会跟这个成千上万的白帽子建立一种联系,我们其实的作用就在于跟这些成千上万的白帽子,建立了一种比较顺畅的联系。同时这次12306介入进来是有一个契机,因为当时白帽子已经发现了几个12306的漏洞,提交到我们平台来了,我们在通知给12306过程中,12306觉得这个通知的流程是对他们是很有价值的,而且那些漏洞也是有价值的,于是他就说,能不能通过建立一种私有的有现金奖励的,白帽子发漏洞的积极性就会大很多。

　　赵武口中的“白帽子”听上去就是一群网络高手,实际上,有人认为可以将他们理解成是正义的“黑客”。他们擅长网络技术、乐于寻找漏洞,但是白帽子的做法不是依靠攻击漏洞牟利,而是将漏洞公开、提交企业,帮助他们改善网络。记者登陆补天平台网站看到,12306网站赫然显示在了首页的显著位置。截至发稿时,已经有22个人提交了漏洞,发现的有效漏洞达到19条,领走的奖金总额达到了4350元。不过,最高2000块钱的“悬赏”金额一度被厂家自主降低到了1000块钱,到昨天晚间恢复到2000块,似乎也说明了,这个价钱是随行就市的。赵武表示,加入“私有安全”行列并提出奖金可以大大提高白帽子们提供漏洞信息的积极性:

　　赵武:他是一个漏洞2000,上不封顶,比如说我收到一百个,可能就是二十万,收到一千个可能就是两百万,通过这种模式,昨天已经通报大概十几个漏洞给12306,以后这种合作就形成一种长期有效的形式了,只要有白帽子,在互联网上发现了12306的漏洞,我们都会第一时间通知给12306进行一个修补。

　　而在网络上这一新闻的各种评论中,网友们对于12306“悬赏2000元查找漏洞”的看法却不太一样。有人说“不错,这是个好主意”,有人却觉得“太少了,根本不具魅力,起码一条得给1万块钱”。采访中,互联网业内人士对于12306的这一举动却多数持肯定态度。他们认为,钱多少其实不重要,寻找漏洞的态度才可贵:

　　业内人士:也就是有一些人,他会比较热心,他会去,一方面是证明自己,另外一方面也是确实是有这种公益心,工程师他会去主动去给网站去找漏洞,他们其实追求的就是一个社会的认可,厂商一般会给他们一些回馈,比如说是给U盘或者说是发现几个bug送个iPad之类的。但也不是人人有,也是漏洞达到一定级别,才会给这种东西。但是对于想要找漏洞的这些人,也不是为了这个,因为他投入这个时间和成本是远远超过厂商所能给他的回馈的,所以他追求的肯定不是钱,真正能拿到这个东西做坏事的这些人,他能拿到东西,能变现更多的钱。所以说两千块钱,我认为这是一个比较好的态度吧,至少在社会舆论上,他是在想去解决这个问题嘛。

　　而此前,有媒体报道称,大量12306网站用户信息遭泄露,已知公开传播的数据库涉及的用户数据超过了13万条。尽管嫌疑人迅速被抓获,也查明是利用网上别的用户信息一个个尝试“撞库”得到的,相关的12306手机APP漏洞也已经修复,但由此造成的信息泄露损失却是覆水难收了。赵武表示,在360补天平台上建立私有安全应急响应中心可以主动防御今后再出现类似情况:

　　赵武:因为导致的信息泄露,或者是黑客攻击,都是由于存在某些漏洞,所以我们现在这种合作,以后会定期的,陆续的把这种发现的漏洞都通报给12306,他们只要进行及时的修补,撞库它就不成功了。

　　我们希望12306这次的悬赏查漏是“亡羊补牢,未为晚也”。其实自从12306网络订票系统正式投入使用至今,似乎隔不了多长时间,我们就能听到类似的系统漏洞的消息,比如说这高峰期网页打不开、验证码输入不正确、余票信息不准确等等。每次“春运”、“黄金周”、暑假客流高峰过后,对于12306的各种吐槽,好像成了大家的习惯性动作,很多人也就见怪不怪了。

　　“一票难求”,可能短时间之内无法完全的解决。但是更完善、更人性化的售票平台或许能让旅客们感受到铁路部门的诚意。吐槽归吐槽,对于成长当中的12306,我们还要多一些耐心。