铁路部门建议,旅客不要使用第三方网站购买火车票。
日前,12306客服人员向澎湃新闻(www.thepaper.cn)表示,部分第三方购票网站会利用用户登记的个人信息注册账号,并用账号通过添加常用联系人的方式再次购买他人的火车票。
律师认为,无论旅客个人信息是如何被泄露、利用的,泄露信息的结果已是事实,涉及到注册和登记的平台都有义务维护用户的信息安全。
此外,对于身份信息已经“被抢注”的旅客,需要带上身份证亲自去火车站核实注销。这种需要“跑腿”的核验方式也遭到许多旅客的诟病。
12306:第三方网站或抢注身份信息
2016年12月16日,上海市民俞先生向澎湃新闻记者反映,11月下旬,他帮父母在12306的App上注册,但系统提示两个人的证件号均已被注册。
“我父母从来没有注册过,为什么这些身份信息会被注册掉?”俞先生认为,这很可能是“倒票黄牛”利用非法获取的个人信息,在12306网站大量非法注册,然后购票倒卖。
和俞先生的父母一样,在12306注册账号时发现身份信息已被注册的情况并不少见。
“今年年初,我想通过注册12306网站来买票,因为当时想直接通过官网买票应该更方便、更可靠。但是我注册的时候发现,我的身份证信息居然已经被注册掉了,”市民王小姐回忆起过去在第三方网站上的购票经历,称自己曾在“去哪儿”网上输入身份证信息,用于购买火车票,“后来我的‘去哪儿’账户莫名其妙被添加了很多常用联系人,这些人我完全不认识。”
就此,记者以旅客的身份拨打了中国铁路12306客服热线,询问为何身份证信息会显示已被人注册掉。客服人员表示,如果购票者过去在第三方网站买过车票,购票时输入身份信息后,第三方网站就可能利用该身份证信息去注册账号。
“然后(第三方网站)通过这些已经注册的账号,就可以添加其他的旅客为常用联系人,帮别人订票了。”客服人员表示。
体验:双向核验依然能注册他人账号
长期以来,铁路部门不断更新12306防止黄牛倒票的方式。例如,设置两次购票查询时间限制、图片验证码。2015年底还出台了手机双向核验办法,来防止黄牛。但是,对铁路部门所设置的购票“门槛”,不少旅客反映,购票流程不但不方便,而且黄牛仍然有可乘之机。
近日,澎湃新闻记者在12306购票系统中使用一张非本人身份证注册时发现,即便不使用身份证所有人的手机号码,仍然能够注册,并且成功双向核验,顺利购票。这意味着,如果身份证信息落入他人手中,他人能够使用该身份信息顺利注册购票,还能添加其他15名旅客身份信息进行购票。这一点也能够解释,为何第三方购票网站或网站上的代理能够抢注用户的身份信息。
记者打开一个售卖火车票的第三方网站——“去哪儿旅行”App发现,该网站提供的春运抢票方式有两种,一种是登录12306账号购票,另一种是委托“去哪儿”来买票。第一种方式需要在该App中输入12306账号及密码。第二种方式免登录12306网站,但需要输入购票旅客的身份信息,并根据出票的速度不同,有0元到15元不同价位的加价选择。记者在选择提交订单后,该第三方网站上显示“正在锁定座位”。
值得注意的是,12306客服人员表示,目前所有网购火车票都必须在12306官方网站上注册账号购买,那么第三方网站是如何购得车票的呢?
12月18日,关于第三方购票网站是如何代理购买火车票的,携程旅行网、去哪儿网给澎湃新闻的书面回复都提到,其所提供的火车票全部为人工代购。
对于是否具有代理销售火车票的资质,第三方网站均不予回应,但12306客服明确表示,建议旅客不要使用第三方网站购买火车票,改为使用12306官网或者“铁路12306”客户端。
律师:平台有义务维护用户信息安全
不过,无论旅客个人信息是如何被泄露、利用的,泄露信息的结果已是事实。王小姐向澎湃新闻记者表示,发现“去哪儿”账户中有自己不认识的常用联系人,意味着有人未经同意直接通过自己的账户购买其他人的火车票、机票或酒店。
“首先,作为平台的运营方,旅客身份信息被盗用与平台(指包括12306内的所有购票网站)本身是否有直接关系?铁路部门表示身份信息泄露是由于旅客使用了第三方购票平台而导致的,那么铁路部门需要拿出依据并说清楚,是哪些第三方平台?这个第三方平台和你(铁路部门)是什么关系,为什么可以通过它在你的平台上注册并订票?”上海纵横律师事务所律师严佳斌认为,既然已经有用户反映自己的个人信息被他人利用后注册,那么就已经涉及信息泄露的事实。
“在网络注册和登记中发生的用户信息泄露,现在看来,是比较常见的。在用户比较多的一些平台、12306这种卖火车票的网站,出现这种情况是难以避免的,所以首要的是平台的运营方需要加强这方面的安全措施。这些需要注册和登记的平台有义务维护用户的信息安全,”严佳斌表示,作为平台的运营方,首先肯定是要核查平台在这次信息泄露当中是否有漏洞,“一旦出现信息集中注册的地方,首要就是要维护信息的安全,这是关键。”
“从我的角度来看,第三方平台在某种角度上充当了‘黄牛’的角色。”上海社会科学院互联网研究中心首席研究员李易认为,对于已经被“抢注”的旅客,铁路部门可以与电信部门和公安部门联合,让身份信息与电话信息不符合的账户在一段时间内进行重新验证。
专家:铁路应允许网上注销冒用账号
此外,铁路部门表示,被抢注后的账号,需要本人携带身份证到就近火车站售票窗口进行注销账户,才可以重新注册。
上文中提到的市民俞先生表示,为了注销被“抢注”的账号,他年迈的父母拿着身份证亲自跑到火车站售票窗口去注销。
王小姐向澎湃新闻记者表示,在年初亲自去火车站提供身份证信息重新注册账号后,她心生疑问:在信息泄露普遍的当下,铁路部门难道没有措施来预防非本人注册的情况吗?让旅客一趟趟跑去核验身份,实在太麻烦。
李易认为,铁路部门完全可以让旅客在网上注销“被抢注”的账号,“铁路部门可以开一个投诉或举报系统,让旅客在系统中描述自己‘被抢注’的情况,并上传相关信息证明自己的身份,最后由系统方面的客服与旅客确认信息并注销‘被抢注’账号。”
李易认为,如果电信部门、公安部门与铁路部门之间的信息库是打通融合的话,身份证信息与手机号信息要互相匹配才能注册12306账户,那么至少不会出现可以随意注册别人身份信息的情况。当然,李易教授也表示,这个方法对于一些没有进行手机号实名验证的人和不使用手机的人来说还是有局限性。