高考状元硕士受审：为泄愤 他恶意攻击北京摇号网站【3】

　　说法

　　用户信息被利用 网站有责任

　　DCCI互联网研究院院长刘兴亮介绍，张利斌的攻击是模拟用户的行为，对于系统来说，就好像一个用户在使用“找回密码”功能，如果网站对这方面防范不强，批量窃取信息很容易实现。

　　他举例说，就如同设置邮箱密码的“安全级别”一样，如果用一串数字做密码，用软件从1到10不停比对，利用计算公式可以几秒内演算出来，而数字和字母的组合则需要一两年，加上符号可能需要十几年才能演算出来。此前摇号网站只需要输入一串手机号，防范级别不高，容易被攻破。

　　刘兴亮认为，对于摇号网站这种涉及公众身份信息的网站，更应该增加防范级别。因防范不慎被犯罪分子利用，网站的维护者是有责任的。因此，希望掌握隐私信息的网站一定要做好安全防范，增强责任心。

　　体验

　　网站已升级 需加输证件号

　　昨日，记者进入小客车指标调控管理信息系统，点击“找回密码”功能，需要填写“证件号码”、“手机号”、“图片验证码”之后，才能“点击获取短信验证码”。填写完毕，1分钟内，记者输入的手机号便收到“小客车指标办”的6位验证密码。

　　据介绍，这是在2012年12月23日，该网站被攻击后，交通委加强了系统安全防护功能。

　　记者获悉，摇号网站的短信验证码发送功能需要向中国移动支付每条0.05元的费用，正常每日发送量为4000余条，费用是交通委承担，但此次张利斌的恶意攻击，使向用户发送信息量大量增加，造成不必要损失达4.7万元。

(来源:新京报)