用户名 密码 账号属于 注册
订阅新媒体业务联通 移动 电信 设为首页 加入收藏

如果有“12306”密码,赶紧修改

2014-12-26 10:15:29来源:江南晚报
权威新媒体 传播新速度新闻热线:81853981 商务热线:81853198我要评论字号:T|T



  昨天上午11点,国内最大的漏洞报告平台乌云官网爆出,大量12306的用户数据在互联网疯传,其中包括用户账号、明文密码、身份证邮箱等信息。随后,中国铁路客户 服 务 中 心12306官方网站作出了回应,称网上泄露的用户信息系经其他网站或渠道流出,并告知用户不要使用第三方抢票软件购票。据了解,公安机关现已经介入调查。

  或由撞库攻击所得

  据悉,此次泄露的用户数据不少于131653条。据悉,当前有黑客获取了12306的所有用户信息并在一些黑客群体中进行流传、买卖。

  据了解,一份样本数据的文件标题为《12306 邮箱-密码-姓名-身份证-手机(售后群:31109xxxx).txt》,共计131653条记录、文件大小14M。

  网络安全公司知道创宇研究部总监表示,经过仔细分析,该批12306用户数据是真实的。此外,该批数据基本确认为黑客通过“撞库攻击”所获得。“从泄露的数据格式看,不像直接从12306数据库偷出来的。”

  黑客获取数据主要有三种方式:直接攻击网站、散播刷票软件等木马程序以及上述的撞库攻击。前两种攻击方式比较常见,而“撞库攻击”对于普通网友来说相对比较费解。很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登陆B网址,这就可以理解为撞库攻击。

  另一位安全专家也认为,在已有证据来看,撞库攻击是最接近事实的。目前该漏洞已经提交给了国家互联网应急中心进行处理。而12306在公告中强调,公安机关已经介入调查此事。

  离线抢票安全受质疑

  12306通过微信等多个渠道发布公告表示,“已经认真审核,泄露信息全部含有用户明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。”

  公告发出后,第三方抢票软件瞬间成为关注的焦点。据专家介绍,第三方平台的抢票软件为了让购票更迅捷,运行时可能省去了一些步骤。而这些软件大多未经安全检测,安全性难以保障。

  对此,网络安全专家表示,出现用户数据库的大量泄露,主要原因是因为将用户数据集中存在一台服务器上或是一个云端系统中,而以浏览器为基础的抢票软件为了用户登录方便,都会提示用户是否保存登录用户名和密码,并自动上传服务器来存储用户的12306账户信息,因此不能排除此次泄露是第三方抢票软件造成。

  据了解,目前第三方抢票软件大多是浏览器,并且很多浏览器出于某些原因大多会采用明文密码的存放方式,由于浏览器需要将密码等用户信息上传到服务器或是云端,如果软件提供方的服务器或是系统被黑客攻击,用户数据库也将会泄露。

  此外,今年还出现了离线抢票的方式,用户不但需要将12306用户名和密码提交,还要提供自己的身份证信息和手机号等隐私信息,而这些信息被泄露将造成更严重的后果。

  专家认为,一款安全的抢票软件应该把用户的关键数据都保存在用户的电脑中,且不提供云同步功能,这样可以有效避免账号、密码、身份证等敏感信息收集和泄露的问题。

  网上曝光的数据泄露截图。

  链接

  12306多次被曝漏洞

  回顾12306网站多年的运营情况,2012年底该网站就曾因故障两次发公告暂停网上售票。值得一提的是,差不多也是在去年的这个时间段,第三方漏洞平台乌云网也曾曝出“12306漏洞导致用户信息泄露”。

  在今年1月份,有网友爆料称,12306订票网站可以利用假护照、假身份证完成订票。之后,利用12306漏洞购票选上下铺的攻略在网上转发。今年7月15日,乌云又曝出12306购票软件存在漏洞,一人可购买一车厢票。

  近一点,在今年十一国庆假期即将来临之际,也有安全机构曝出,12306网站的账号密码找回机制存在较严重的安全隐患,易被他人盗号,12306网站中记录的大量个人及常用联系人的身份证号、手机号码等敏感信息,均存在泄露的风险。

  (综合 央广)

  数据泄露有何危害? 如何避免安全隐患?

  数据泄露,可能存在以下危害:

  1、黑客拿12306泄露的用户名密码去尝试登录用户的邮箱,更多个人信息因此被盗;

  2、因手机号身份证号行程被泄露,骗子可能以退票为借口行骗;

  安全专家建议用户采取以下措施尽可能避免安全隐患:

  1、立刻修改12306登录密码。如果12306的密码是自己常用密码,也要注意防范牵连其他重要账号。

  2、尽快修改登录12306时使用的邮箱密码,邮箱服务和12306网站服务一定不要使用相同的登录密码。

  3、由于12306数据泄露的数据还包含手机号、身份证号,除了自己的信息之外,还会泄露亲友的身份信息。建议受信息泄露影响的所有人小心处理可能的诈骗电话和短信。同时,与银行转帐汇款有关的业务,务必电话确认身份。
[责任编辑:钱莉莎]
分享到:
无锡新传媒网版权与免责声明
①凡本网注明“稿件来源:无锡新传媒网(包括无锡日报、江南晚报、无锡商报、华东旅游报、江南保健报)”的所有文字、图片和音视频稿件,版权均属无锡新传媒网所有,任何媒体、网站或个人未经本网协议授权不得转载、链接、转贴或以其他方式复制发表。已经本网协议授权的媒体、网站,在下载使用时必须注明“稿件来源:无锡新传媒网”,网络媒体在来源“无锡新传媒网”上需加上链接www.wxrb.com,违者本网将依法追究责任。
②本网未注明“稿件来源:无锡新传媒网(包括无锡日报、江南晚报、无锡商报、华东旅游报、江南保健报)”的文/图等稿件均为转载稿,本网转载出于传递更多信息之目的,并不意味着赞同其观点或证实其内容的真实性。如其他媒体、网站或个人从本网下载使用,必须保留本网注明的“稿件来源”,并自负版权等法律责任。如擅自篡改为“稿件来源:无锡新传媒网”,本网将依法追究责任。如对稿件内容有疑议,请及时与我们联系。
③ 如本网转载稿涉及版权等问题,请作者在两周内速来电或来函与无锡新传媒网联系。
权威新媒体传播新速度无锡新传媒网新闻热线:0510-81853981 81853198文明办网举报热线:0510-81853962
二维码