AD
漫画/李宏宇12306网站公告称,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请广大旅客注意。
目前正是春运购票的高峰期,中国铁路客户服务中心12306网站却成了“雷区”。该网站昨天发布公告,承认用户信息泄露,但是“系经其他网站或渠道流出”。据悉,公安机关已经介入调查,而第三方抢票浏览器、抢票软件纷纷撇清关系。
建议用户及时更改密码
昨天10∶59,第三方漏洞报告平台乌云曝出12306网站存在用户数据泄露的漏洞。
乌云的漏洞标题是“大量12306用户数据在互联网疯传包括用户账号、明文密码、身份证邮箱等(泄漏途径目前未知)”。漏洞已交由第三方厂商cncert国家互联网应急中心处理。
乌云称,“数据只是在传播售卖,目前无法确认是12306官方还是第三方抢票平台泄漏,希望官方立即介入调查并且通知已泄密用户修改密码!”
“乌云-漏洞报告平台”官方微博昨天14∶15宣布,“真相在这里!网上正流传一份12306用户账号、密码等敏感数据,抽查几个账号验证确实可以登录。目前通过白帽子分析,数据疑似黑客撞库后整理得到而并非12306直接泄漏,请用户及时修改密码同时慎用抢票工具。这数据如果被黄牛拿到,把我们辛辛苦苦订的票退掉倒腾给别人怎么办。”
猎豹浏览器官方微博昨天17∶17宣布,12306用户数据泄露量超过10万条。
12306网站已多次被发现漏洞。有网友今年1月份爆料称,12306订票网站可以利用假护照、假身份证完成订票。之后,利用12306漏洞购票选上下铺的攻略在网上转发。今年7月15日,乌云披露12306购票软件存在漏洞,一人可购买一车厢车票。
公安机关已经介入调查
12306网站昨天发布了“关于提醒广大旅客使用12306官方网站购票的公告”,表示互联网上出现了“12306网站用户信息在互联网上疯传”的报道,经12306网站认真核查,此泄露信息全部含有用户的明文密码,“我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。”
12306网站的公告话锋一转,将矛头指向其深恶痛绝的第三方抢票软件,“郑重提醒广大旅客,为保障广大用户的信息安全,请您通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止您的个人身份信息外泄。”12306网站公告称,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请广大旅客注意。
猎豹浏览器官方微博指出,12306数据泄露的衍生风险有,“1、邮箱被撞库(黑客拿12306泄露的用户名密码去尝试登录邮箱),更多个人信息因此被盗;2、因手机号身份证号行程被泄露,骗子可能以退票为借口行骗;3、因12306的数据实际包含亲友信息,可能导致事件的影响面极大;4、受害者遭遇恶作剧,预订的火车票被恶意退票。”
猎豹移动安全专家李铁军昨天分析,导致此次12306网站用户数据泄露有可能是以下几种原因:一是第三方抢票软件存储了12306的数据,被黑客入侵后导致用户密码被盗;二是黑客通过其他已泄露的邮箱数据库,进行撞库攻击,就是用相同的用户名密码去尝试登录12306网站。
黑客获取数据3种方式
商报记者了解到,黑客从网站获取数据主要有3种方式:一是直接攻击网站,二是散播刷票软件等木马程序,三是撞库攻击。前两种攻击方式比较常见,而撞库攻击对于普通网友来说相对比较费解。
所谓撞库攻击是,由于很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
航空公司也出现过漏洞
航空公司网站也曝出过漏洞,与12306网站谴责抢票软件一样,航空公司也不愿自认倒霉。
12月2日晚间,乌云漏洞平台披露,东航网站存在漏洞,会导致旅客姓名、手机号码以及航班信息等个人资料外泄。东航回应,经过调查,此次用户信息泄露并非东航自身系统漏洞,而是某机票代理人系统服务器受到不明计算机连续攻击造成。
