12306网站13万用户信息泄漏 12306密码需要改改了
核心提示:
临近春运,12306网站又遇上了麻烦。昨日下午,很多网站的弹窗把我们吓得不轻:火速改密码!12306现用户数据泄漏高危漏洞。这条安全警示的信息源来自于第三方漏洞报告平台乌云。据其发布的一则漏洞报告称,大量12306用户数据在互联网遭疯传,包括用户账号、明文密码、身份证邮箱等。随后,12306官网对此回应,网上泄漏的用户信息系经其他网站或渠道流出,并非12306网站。
|
|
对此,昨日成都商报记者采访了多名安全机构专家,初步确认该事件为“撞库攻击”导致,12306网站自身漏洞、第三方抢票平台也可能成为泄漏途径。
12月25日
漏洞报告平台乌云发布漏洞报告称,大量12306用户数据在互联网疯传
瑞星推测
泄漏可能路径有三:
第一是12306自身出现问题;
其次是第三方抢票软件或插件出现信息漏洞;
最大的可能性是黑客用“撞库”的方式获取这部分用户信息
撞库攻击
简单来说,就是拿其他地方泄漏的用户名和密码来这里试,如果用户名和密码都一样,就撞开了。
12306:用户数据经其他渠道流出
据该漏洞作者,名为“追寻的白帽子”披露,这批12306数据先是在网上售卖,目前已变成公开传播。记者从12306官网获悉,针对互联网上出现“12306网站用户信息在互联网上疯传”的报道,经该网站认真核查,此泄露信息全部含有用户的明文密码,而该网站数据库所有用户密码均为多次加密的非明文转换码,网上泄漏的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。
记者了解到,所谓明文密码,即信息里将清晰显示用户的账户密码、姓名、身份证号,那么黑客完全可以操纵你的12306账号进行买票、退票等操作。正常情况下,注重安全的网站都不会使用明文密码。
据悉,此前12306已多次被曝出漏洞。早在今年1月份,有网友曝料称,12306订票网站可以利用假护照、假身份证完成订票。此后,又曝出利用漏洞选上下铺的攻略在网上转发。今年7月15日,乌云又曝出12306购票软件存在漏洞,一人可购买一车厢的全部车票。
知道创宇:黑客发动“撞库攻击”
截至昨日,国内安全机构知道创宇确认12306数据泄漏事件为“撞库攻击”。
知道创宇技术副总裁余弦告诉成都商报记者,所谓撞库攻击,简单来说,就是拿其他地方泄漏的用户名和密码来这里试,如果用户名和密码都一样,就撞开了。知道创宇是目前唯一一家披露了验证过程和逻辑的安全机构。
事件发生后,知道创宇获取到了该文中提到的样本数据,文件共计131653条记录、文件大小14兆(Mb)。据记者了解,知道创宇安全研究团队针对该批数据进行了调查,他们随机抽取了一批账号均成功登录12306,证明了该批数据是真实的;随机联系了该批数据中的多个QQ用户,均反馈没有使用过抢票软件且近期没有购票行为。
调查后,知道创宇安全研究团队获得如下结论:该批131653条的12306网站用户数据是真实的。他们通过与已有泄漏信息库的对比,得出了这次被泄漏信息并非新泄漏,该批数据基本确认为黑客通过“撞库攻击”所获得。
瑞星:12306子网站发现漏洞
根据瑞星互联网攻防实验室研究,推测出信息泄漏可能路径有三:第一是12306自身出现问题;其次是第三方抢票软件或插件出现信息漏洞;最大的可能性是黑客用“撞库”的方式获取这部分用户信息。
专家介绍,第三方平台为了让购票更迅捷,运行时可能省去了一些步骤,安全性难以保障。此前,CSDN、携程、天涯、当当等都曾被黑客攻破,导致用户信息泄漏。
值得一提的是,瑞星高级工程师唐威表示,瑞星在对12306网站安全监测时发现,12306主站下属包括南方货物快运服务站、东北货物快运服务站等6个子网站发现了Struts2漏洞,利用该漏洞入侵者可以获取子网站管理员权限,并可以通过恶意代码控制子网站服务器对主站进行跳板入侵获取信息。
“可以肯定的是漏洞存在,控制子网服务器入侵主网站也是黑客管用手段,理想状态下可以通过该漏洞取得用户信息,但是因权限不允许测试,瑞星也不能确定这是信息泄密的路径。”
安全提醒:注册邮箱和网站密码最好不同
针对目前状况,猎豹移动安全专家则建议用户,立刻修改12306登录密码,尽快修改登录12306时使用的邮箱密码,邮箱服务和12306网站服务一定不要使用相同的登录密码。由于12306数据泄漏的数据还包含手机号、身份证号,除了自己的信息之外,还会泄漏亲友的身份信息。建议受信息泄漏影响的所有人小心处理可能的诈骗电话和短信。同时,与银行转账汇款有关的业务,务必电话确认身份。
此外,据天下无贼-反信息诈骗联盟统计,目前90%以上的电信诈骗源头都是“个人信息泄漏”,诈骗招数五花八门,当遇到公检法、航班改签、网购退款、手机积分等短信、电话时千万当心,绝大多数都是诈骗。
本文转自:温州网
请您文明上网、理性发言,并遵守相关规定。网友评论
网友评论仅供其表达个人看法,并不表明温州网立场。
