记者最新获悉,12306在数据泄露事件后,为了最大限度地保护信息安全,已经接入360“补天”漏洞响应平台,正主动悬赏征集和处理漏洞。
12月27日下午,安全专家“赵武360”发布微博称:“12306目前已接入补天漏洞响应平台,参与私有SRC计划,积极收集和处理漏洞。希望各位安全专家负责任的提交和协助漏洞修复。”
微博发布数分钟后,多位安全专家转发,并对铁路部门本次对信息安全的重视和对处理漏洞的积极态度表示赞许。
图:首席信息安全官网创始人张百川转发微博并表示赞许
记者从360“补天”漏洞响应平台上看到,认证为中国铁道科学研究院(网站:www.12306.cn) 的厂商已经为两位27日提交漏洞的白帽子黑客分表发放了1000元人民币奖金,这两个漏洞的危险等级都评估为“高”。该平台上,白帽子黑客们提交的12306漏洞共计15个,其中高危等级的漏洞就有11个。
图:“补天”漏洞响应平台上,12306正在悬赏收集漏洞
此前,12306被爆出数据泄露事件,受到了大众的广泛关注。铁路公安证实,犯罪嫌疑人采用“撞库”方式,非法获取了12306用户数据。
随后,360公司称,12306之所以被“撞库”,很可能是其手机APP漏洞导致。360“补天”漏洞平台发现,12306手机APP登陆接口可被黑客恶意利用,无限次尝试撞库破解。
据了解,这次12306加入的360“补天”私有SRC(Security Response Center,安全应急响应中心),可以发动全网有贡献精神的网络安全专家,为企业提交安全漏洞,采用SRC方式提交的漏洞不会对外公开。
数据显示,国内有超过95%的网站存在漏洞,超过40%的网站存在后门。因此,互联网上每天都在爆发“拖库"事件,从普通网站到手机应用软件,用户信息随时有大批量泄露的可能。事实证明,SRC模式可以非常有效且快速的获取企业安全漏洞信息,提高企业安全防御能力。
