元旦臨近、春節將至,火車票預訂進入旺季,但是在12月25日上午,一則關于中國鐵路購票網站12306的漏洞報告出現在了國內某知名漏洞公布平臺上,該報告稱12306網站存在“用戶資料大量泄漏”的高危漏洞,一時間引起網民的極度恐慌和業界的廣泛關注。
不過讓人費解的是,不同的互聯網公司或安全公司對該事件卻有著截然不同的解讀。業內專家表示,明明很單純的一件互聯網安全事件,卻被各大公司利用作為炒作自身產品或攻擊對手產品的工具,實在有違做安全的初衷。而無辜的網民在無數份所謂“權威報告”面前更是手足無措,甚至有網民表示“再也不敢去12306訂票了。”
在所有對于“12306信息泄露事件”的分析當中,知道創宇公司最先發布了一份報告并被包括南方都市報等權威媒體所采用。報告稱:“經過安全研究團隊第一時間的深度分析,基本可以得出的結論是——黑客采用“撞庫”的行為獲取用戶的敏感信息。”
即便如此,網絡上還是不斷有質疑的聲音發出,認為該結論草率,甚至有情緒較為極端的網民和同行認為12306網站存在更大安全隱患,這讓所有急于購買假期返程車票的上億網民惴惴不安。直到警方宣布將“泄密事件”犯罪嫌疑人抓獲,并確認犯罪嫌疑人通過收集其他互聯網平臺泄露的用戶名加密碼信息對12306網站進行“撞庫”匹配以獲得所謂“泄密信息”,這個事件才真相大白,而網絡上的各種罵戰才煙消云散。
據了解,在得知12306網站存在安全風險的第一時間,知道創宇安全研究團隊迅速對該事件定性為“撞庫”,并向全社會披露,并通過媒體提醒網民“不同的互聯網平臺盡可能不要使用相同的用戶名及賬號密碼,以降低被“撞庫”泄露隱私信息的風險。
知道創宇首席安全工程師(CSO)周景平(“黑哥”)表示,知道創宇做這么多其實并不是為了在其他同行面前炫技、也不需要與其他對手爭論相關結論的對與錯。他認為:“能夠在第一時間通過最科學嚴謹的分析方法,找出存在網絡安全隱患最大的可能,并且將真相告知民眾,才是最重要的。”
“對待安全事件,不要以競賽的心態去做事,也不要為了做安全而做安全。我們搞網絡安全的,終極目標應該是利用我們的安全技術,怎么去給網民造福,保護他們在網上的消費、交易不受到威脅,這才是真正的白帽子。”周景平說道。
“其實我們的想法很簡單,在得知網絡威脅存在的時候,迅速投入到抽絲剝繭的深度研究挖掘中去,獲取事件真相并公布民眾,以提升民眾的網絡安全防范意識和防御等級。”知道創宇公司創始人及CEO趙偉表示,“我們認為白帽子就應該這樣做,我們要做互聯網上行俠仗義的人,利用自己的安全技術保護每一位網民的利益。”
