春运高潮未到,12306再曝出现“漏洞”,用户信息泄露#看好你的票#
2014-12-25 17:04

春运高潮未到,12306再曝出现“漏洞”,用户信息泄露#看好你的票#

今天下午,已经顺利度过放票时的流量高峰的12306,又迎来另一个流量高峰——得知12306大量用户密码身份证等信息泄露的网民,蜂拥登陆修改密码!是的,12306被指出现“漏洞”。


今天上午11点整,来自第三方漏洞报告平台乌云网的一则漏洞报告称,12306(中国铁路客户服务中心网站)出现“高危漏洞”,大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等。


640.webp.jpg


乌云网漏洞报告者称,数据只是在传播售卖,目前无法确认是12306官方还是第三方抢票平台泄漏。


这意味着,这个漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露,而泄漏的途径目前还不知道。


不过,该漏洞已经提交给了国家互联网应急中心进行处理,公安机关已介入调查,暂无进一步消息。


除此之外,12360在其官方网站发布公告,提醒广大用户及时修改密码,警惕第三方“抢票神器”,并否认用户信息泄露由该网站流出,而是经其他网站或渠道流出。


以下是12306官方网站购票的公告全文


关于提醒广大旅客使用12306官方网站购票的公告


针对互联网上出现“12306网站用户信息在互联网上疯传”的报道,经我网站认真核查,此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。


我网站郑重提醒广大旅客,为保障广大用户的信息安全,请您通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止您的个人身份信息外泄。


同时,我网站提醒广大旅客,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请广大旅客注意。


中国铁路客户服务中心


2014年12月25日


根据12306的公告,用户信息泄露是”系他网站或渠道流出“,那么其他网站对此又如何表态?(该部分内容部分来源于:我在现场)


360公司:从未发生数据泄露


针对今天上午12306网站用户资料大量泄露一事,360公司回应称,360浏览器抢票软件具有业界最严格的安全防护机制,从没有发生数据泄露情况。


知道创宇:黑客“撞库攻击”获得数据


事件发生后,知道创宇安全研究团队立刻获取了该文中提到的样本数据,经过初步推测该批数据的来源有3种可能性:黑客直接攻击网站;散播刷票软件等木马程序;利用现有用户数据进行“撞库攻击”。


经过 3个小时的调查,团队得出如下结论:


  1. 该批131653条的12306用户数据是真实的。

  2. 该批数据基本确认为黑客通过“撞库攻击”所获得。

  3. 当前网上并无18G的12306数据的流转迹象。


撞库攻击


黑客入侵有价值的网站,把注册用户的资料数据库全部盗走,俗称“拖库”。收集到用户名+密码信息后,黑客再尝试批量登陆其他网站,也就是进行“撞库”,由此得到一系列可以登陆的用户。


以京东之前的撞库举例,京东的数据库并没有泄漏,但黑客通过“撞库”的手法,“凑巧”获取到了一些京东用户的数据(用户名+密码),而这样的手法,几乎可以对付任何网站登录系统,用户在不同网站登录时使用相同的用户名和密码,就相当于给自己配了一把“万能钥匙”。


也就是说,假如现场君习惯用“我在现场”这个用户名和“123456”这个密码申请邮箱、注册论坛、上网购物、QQ聊天……如果现场君注册过的其中一个网站安全比较薄弱,黑客从网站获取现场君的用户名和密码后,就可以用这套用户名和密码去其他网站“碰碰运气”。以现场君的注册习惯,黑客将连连得手!


12306究竟有没有责任?


那么,黑客到底攻击了哪个(或哪些)使用明文密码的网站,进行了“拖库”,然后通过“撞库攻击”获取了13多万条的数据呢?


责任究竟在谁?12306究竟有没有责任呢?目前还不明朗。现场君的分析是,假如黑客从别处“拖库”,那应该与12306没有关系。


知道创宇团队通过随机访问用户,目前已排除了抢票软件泄漏的可能。团队还随机联系了该批数据中的多个qq用户,均反馈没有使用过抢票软件且近期没有购票行为;团队专家余弦表示,这是目前推理出的最符合的结论,但是黑客世界水深且风云变幻,说不定爆出另一种掉下巴结论。大家只要知道:“我们是在做尽可能严谨的推理就好。”


12306官方网站在声明中表示,公安机关已经介入调查。


火速更改12306等网站的登录密码


余弦表示,目前网上还可以下载到这些泄露的用户数据。


在微博上看到了网友获得数据后的截图,所以——


广大12306用户务必尽快修改12306网站密码,其他网站、网银、第三方支付软件等利用与12306注册邮箱、密码一致的也应立即修改。更需要提醒的是,这些数据有可能被犯罪分子用作精准诈骗,近期应谨防诈骗短信、诈骗电话等。


应在官网购买火车票


在声明中,12306网站还提醒广大旅客,应通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止个人身份信息外泄。


另外,12306网站还提醒旅客,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能。


腾讯手机管家安全专家提醒,用户最好通过12306官方站点购买车票,“抢票软件”可能是本次用户数据泄露的元凶。


抢票平台可能泄露用户数据


尽管这次可能性不大


专家介绍,第三方平台为了让购票更迅捷,运行时可能省去了一些步骤。而这些软件大多未经安全检测,安全性难以保障。


除了12306外,CSDN、携程、天涯、当当等都曾被黑客攻破,导致用户个人信息泄露。腾讯手机管家安全专家提醒各大站点务必做好数据加密工作,杜绝使用明文密码行为,确保用户数据安全。


90%以上电信诈骗源于个人信息泄露


据天下无贼-反信息诈骗联盟统计,目前90%以上的电信诈骗源头都是“个人信息泄露”,直接导致的结果是电信诈骗从撒网式诈骗向精准诈骗升级,再配合网络改号软件、伪基站、钓鱼网址、木马病毒等高科技手段,让电信诈骗更容易得手,单个案件的金额越来越大。


安全专家支招防诈骗


学会设置密码丨很多用户设置密码过于简单,最规范的密码设置方式是“大写字母+小写字母+数字+符号”,重要的账号要设置单独的密码,不要与其他账号重复。


保护好手机丨万一手机被盗,个人身份信息又存在手机中,比如身份证照片,犯罪分子可以直接通过手机修改支付宝、淘宝等各类网购支付账号密码,导致资金被盗刷。


学会防范电信诈骗丨目前,电信诈骗招数五花八门,广大手机用户当遇到公检法、航班改签、网购退款、10086积分等短信、电话时千万当心,绝大多数都是诈骗。同时,警方不会打电话办案,更不存在任何“安全账户”,不要向任何陌生账号转账,不要打开任何陌生网址。安装专业手机安全软件,比如,腾讯手机管家可实现对诈骗短信的精准拦截,可识别各类诈骗电话。


虎嗅对12306用户信息泄露的观察:


回顾12306网站多年的运营情况,2012年底该网站就曾因故障两次发公告暂停网上售票。值得一提的是,差不多也是在去年的这个时间段,第三方漏洞平台乌云网也曾曝出“12306某接口CDN问题导致用户信息泄露”。


近一点,在今年十一国庆假期即将来临之际,也有安全机构曝出,12306网站的账号密码找回机制存在较严重的安全隐患,易被他人盗号,12306网站中记录的大量个人及常用联系人的身份证号、手机号码等敏感信息,均存在泄露的风险。


12306网站从2011年6月投入以来,已有3年半的时间,如果说是网站运营经验和技术水平不成熟,那只能怒其不争。且你要知道,12306的造价不菲,在2013年一年,12306网站的花费就超过5亿元


但客观来讲,12306是在努力改善服务水平。中国铁路总公司实施了新的火车票管理方案后,从今年12月6日起互联网售票提前日前将由20天延至60天。


并在12月19日,开售腊月28的火车票当天,12306网站经受了流量峰值和交易峰值的考验,访问量(PV值)达297亿达次,发售火车票发售563.9万张,占比59%,均创历年新高。


正因为12306在中国铁路运输中有着无可代替的作用,所以“用户信息安全“是一个亟需解决的问题。如果经过调查,有相关证据证明12306用户信息泄露真是其他网站所为,那么国内互联网公司们的”抢票神器“将被封杀!


如对本稿件有异议或投诉,请联系tougao@huxiu.com
正在改变与想要改变世界的人,都在虎嗅APP
赞赏
关闭赞赏 开启赞赏

支持一下   修改

确定