AD
昨天,第三方漏洞报告平台乌云曝出铁路12306网站现用户数据泄露漏洞,大量12306用户数据在互联网遭疯传,包括用户账号、明文密码、身份证、邮箱等。对此,12306网站昨日发布公告回应称,经认真核查,此泄露信息全部含有用户的明文密码,而12306网站数据库所有用户密码均为多次加密的非明文转换码,“网上泄露的用户信息系经其他网站或渠道流出。”12306网站同时提醒旅客,为保障信息安全,不要使用第三方抢票软件购票。
青年报记者 刘春霞
安全监控:
大量12306用户数据网络疯传
昨天上午10点59分,乌云漏洞平台发布漏洞信息,称大量12306用户数据在互联网疯传,包括用户账号、明文密码、身份证、邮箱等敏感信息,漏洞途径暂时未知。
据漏洞上传者披露,这批12306数据先是在网上售卖,随后变成公开传播,连他自己的敏感数据也在其中,“目前无法确认是12306官方还是第三方抢票平台泄露,希望官方立即介入调查并且通知已泄密用户修改密码!”而漏洞状态显示,漏洞已交由第三方厂商(cncert国家互联网应急中心)处理。
昨天下午,“乌云-漏洞报告平台”官方微博也发布微博称,网上正流传一份12306用户账号、密码等敏感数据,抽查几个账号验证确实可以登录。“目前通过白帽子分析,数据疑似黑客撞库后整理得到而并非12306直接泄露,请用户及时修改密码同时慎用抢票工具。这数据如果被黄牛拿到,把我们辛辛苦苦订的票退掉倒腾给别人怎么办。”
12306网站:
勿使用第三方抢票软件购票
对于这一漏洞信息,铁路客户服务中心12306网站昨日也及时发布公告,表示针对“12306网站用户信息在互联网上疯传”的报道,经网站认真核查,此泄露信息全部含有用户的明文密码。“我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。”12306网站表示,目前,公安机关已经介入调查。
此外,12306网站还提醒广大旅客,为保障广大用户的信息安全,请通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止个人身份信息外泄。“同时,我网站提醒广大旅客,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请广大旅客注意。”
第三方软件:
纷纷否认泄密事件与己有关
与此同时,第三方抢票软件也纷纷澄清,表示泄密事件与自己无关。
其中,猎豹移动安全专家李铁军表示,其抢票插件不保存用户数据,不会造成泄露;而且没有“离线抢票”功能,也不存在明文密码泄露问题。
360则表示,此事与360没有任何关系。公安机关可以根据这些受害用户信息进行调查,很快就能挖出泄露数据的源头。”
360公司安全专家安扬告诉记者,公安机关只要根据这十余万条数据相关用户进行调查,很快就能挖出泄露数据的源头。
网友反应:
抓紧改密码不再用抢票神器
即便第三方软件出面否则,但不少网友还是把矛头指向了这些软件。有观点认为,第三方抢票浏览器、抢票软件为了让购票更迅捷,运行时可能省去了一些步骤。这些软件大多未经安全检测,安全性难以保障。
对于泄露信息的真实性,网友“Not-Kid-ding”表示,他在那13多万条ID里挨个试了下,绝大多数都能登录12306。众多网友在紧急更改密码的同时纷纷感叹:“太恐怖了,以后还是不要再用天花乱坠的第三方抢票神器,现在搞成这样,其它账号的密码我也要进行修改,否则太不安全了。”
事实上,这并非交通领域首次被曝信息泄露,此前,航空公司也被曝出过旅客信息漏洞。对此,不少网友也呼吁,相关部门要加强监管,保护信息安全。
专家:该次信息泄露或为黑客“撞库攻击”
青年报记者 马鈜
本报讯
昨天,瑞星安全专家也向广大网民发出紧急安全警报:12306网站(中国铁路客户服务中心)大量用户邮箱、密码、姓名、身份证、手机等关键隐私信息被泄露。
瑞星安全专家介绍,此次泄露的用户信息约有13万条,但很可能只是冰山一角,近期不排除有成百上千万的用户信息还将遭受泄露或黑市买卖。
由于被泄信息真实率极高,而且大量用户使用手机号、QQ邮箱当做用户名,因此,除购票网站信息被泄露以外,后续还将产生更大的危害,例如:QQ、微信、邮箱等关键网络服务被盗,从而给网民带来严重的经济损失。
对于抢票器是如何实现抢票功能的,瑞星安全专家给出回应,抢票器功能的实现是依靠将购票网站上原本人工操作的流程需要手动填写的个人信息、手动刷新的页面操作实现了自动化,简单说就是实现了自动提交、自动刷新订票页面的手段来实现的。
与此同时,知道创宇安全研究团队认为,黑客数据的来源有三种可能性:黑客直接攻击网站;散播刷票软件等木马程序;利用现有用户数据进行“撞库攻击”。
安全厂商“知道创宇”则表示,确认12306数据泄露事件为“撞库攻击”,既不是黑客攻击了12306,也不是第三方抢票软件安插了木马程序或泄密。所为“撞库”,就是以大量的用户数据为基础,利用用户注册其他网站时使用相同的用户名和相同密码,登录12306的网站。
知道创宇安全研究团队针对该批数据进行了紧急调查,获得如下结论:该批131653条的12306用户数据是真实的;该批数据基本确认为黑客通过“撞库攻击”所获得。
律师说法
[安全提醒]软件是否因自身缺陷被人“利用”
本报讯
记者 陈轶珺目前,大量乘客信息泄露,相关网站或者软件需不需要承担法律责任?这个问题,上海君悦律师事务所朱平晟律师认为必须从两方面来探讨。
首先,“抢票软件”本身并没有非法入侵铁道部的电脑网络,不干扰购票系统,没有阻拦他人的正常购票行为,也没有将本不属于自己的票抢过来,因此它不是电脑黑客和病毒。但铁总方面早已告诫过“抢票软件”存在的风险,乘客在明知“抢票软件”是第三方软件,存在一定的漏洞后,仍“铤而走险”去使用该软件,所造成的后果必须由自己承担。
但如果乘客信息泄露不是“抢票软件”本身的缺陷,而是被黑客利用,故意窃取乘客信息,那么这就已经构成了犯罪。涉嫌违反刑法第285条规定,提供侵入、非法控制计算机信息系统程序、工具罪是指提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的行为,应该交由公安部门立案侦查。
朱平晟律师认为,乘客信息泄露追究抢票软件的责任只是头疼医头,脚疼医脚。乘客冒着身份信息被泄露的危险,利用“抢票软件”求得一张归家的车票。说到底是旺盛的春运需求与运力不足之间的矛盾。铁道部应从自身上找原因,打破垄断,吸纳社会资本和技术进入,改进技术,改进管理模式,让更多的人顺利拿到火车。这样自然就没有了“抢票软件”的市场。
1.立即修改12306的登录密码,以防被他人恶意退票。
2.尽快修改12306登录邮箱的邮箱密码,小心他人尝试登录您的邮箱,防止更多个人信息和资料泄露。
3.如果有其他账号密码和12306的账号密码相同,请尽快修改其他账号密码。
4.留心陌生电话,以防遇到诈骗电话和短信。由于12306网站中包含自己和亲友的身份证、手机等个人信息,请谨防他人利用这些信息进行诈骗。
A03
