新京报记者罗亦丹于1 月6 日至7 日经华为应用市场下载测试。
15个抢票APP13个索取敏感权限
2018年12月28日,60万12306网站用户注册信息和410万条铁路乘客信息被曝泄露,经新京报记者验证,多个账号正确可以进行登录,涉及旅客姓名、身份证号、手机号、登录账号和密码、邮箱等信息。
12306官方表示,这部分数据并非通过对12306官方网站技术入侵获取,而是在网上非法购买所得,其余410余万条铁路乘客信息,系贩卖者利用上述用户注册信息,通过第三方网络订票平台非法获取。
这引发了公众对第三方抢票软件信息安全的担忧,在新京报记者对23名受访者的调查问卷中,有13名受访者担心抢票软件泄露个人隐私,同时,绝大部分人认为抢票软件需要规范。
“铁路部门对旅客因第三方购票软件购票产生的钱款损失、个人信息安全泄露等问题并不负责,请广大旅客以官方购票渠道购票。”北京铁路局客服中心工作人员对记者表示。
新京报记者观察排名靠前的15款抢票APP发现,除路路通和抢票达人外,绝大多数APP都索取了地理位置、通讯录、录音、相机、拨打电话五项涉及隐私权限中的至少一项,其中快票出行、高铁管家12306火车票索取了全部五项敏感权限。
此外,由于火车票实名制的设置,用户若要让APP“代抢”火车票,必须留下真实姓名和电话。如智行火车票隐私协议显示,“如果您提供自有的12306账号用于购票,表示您同意将您的12306账号和密码授权给我司托管,并委托我司为您或他人执行查询、购票、退票、改签等操作,我司和平台也将严格保护您的隐私信息”。
但需要注意的是,对于第三方平台如果泄露了用户的信息,将遭受何种惩罚,目前的规则并不完善。如《网络安全法》第41条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。而在北京邮电大学互联网治理与法律研究中心常务副主任谢永江看来,该规定中的“合法、正当、必要”原则比较笼统,没有具体解释和客观衡量标准。“未来还应出台专门的个人信息保护法以及相应的行业标准,对个人信息保护的规定加以细化。”
有声音认为,在惩罚不明确、第三方APP安全意识不重的背景下,信息贩卖灰产得以滋生。
游侠安全网站长张百川告诉新京报记者,在12306用户信息泄露事件中,泄露密码可能是因为密码保存在本地比较方便去网站提交抢票,但找回密码的问答也暴露了出来,这说明泄露方对公民信息没有加密,对黑客而言,几乎是没有任何保密措施。
对此,携程与去哪儿方面对新京报记者表示,携程和去哪儿对用户提供12306中的账户信息采取云管理的方式进行操作,不会留存本地,并且通过严密的技术手段,保证云管理中用户信息的安全。“携程业务开展已经有十几年时间,对于信息安全的把控积累了丰富的经验,并有相关部门专职负责,可以充分保障用户的信息安全。携程内部有严格的安全控制措施,用户的身份信息、账号、密码等相关数据在传输和保存过程中始终处于加密状态,任何未经授权的人员都无法取得这些资料。”
“实际上,只要拥有一定带宽,且拥有批量注册12306账户的公司,在技术上都可以帮助用户进行抢票。目前市场上抢票APP既多且杂,默认勾选加速包等行业‘潜规则’以及坐拥大量用户信息,却对信息保护重视程度不够等都是该行业存在的问题,建议用户在官方购票或选择较为大型的抢票APP。”孙旭表示。
来源:新京报 共3页 上一页 [1] [2] [3] 搜索更多: 抢票 |