12306 官方把这次密码泄露事件推给了第三方刷票工具,但也有安全专家把原因归结为“撞库”。
但我认为在这次事件中,12306 是负有责任的:
1、已订票单过于容易被取消。事实上就是登录进去账号之后点几下就能把订单给取消了,完全没有进行身份验证——比如短信形式的二次验证。
2、www.12306.cn 是一个反人类的网站,变相在鼓励用户使用第三方工具。我之前已经说过这个垃圾网站有多恶心。不管这次密码泄露是第三方工具还是“撞库”,这都应该给 12306 和用户敲响警钟,12306 应该认真考虑做个可用的网站出来,而用户也该意识到使用第三方工具的风险。
3、12306 没有任何措施保护已经失窃的账号。如果我没有理解错的话,12306 不是一个普通的商业网站,是依靠税收建立的,意味着其实每个公民都有“投资”,但是结果是 12306 这帮人对“投资人”都没有一丁点责任心,至少你应当可以把那些账号锁定,要求用户以其它更安全的方式验证身份后解锁。(当然我不是在说商业网站在这种情况下就应该撒手不管)。结果呢?就是有用户被他人给退票了。
总而言之,12306 就是个只会推卸责任,没有一点安全意识的人在管理。你要是以前不懂,但俗话说得好“吃一堑,长一智”,以后也该聪明点了,但是现在我看不出它有任何改进。