十一國慶假期即將來臨,近日起又開始迎來了今年第一個網(wǎng)絡(luò)訂票高峰,12306網(wǎng)站再次成為民眾矚目焦點。今日,有安全機構(gòu)曝出,12306網(wǎng)站的賬號密碼找回機制存在較嚴(yán)重的安全隱患,易被他人盜號,12306網(wǎng)站中記錄的大量個人及常用聯(lián)系人的身份證號、手機號碼等敏感信息,均存在泄露的風(fēng)險。
安全機構(gòu)近日進行了一次安全實驗,安全工程師利用一部改造過固件可實現(xiàn)后臺監(jiān)聽的路由器,創(chuàng)建一個假冒運營商提供的免費釣魚WiFi熱點“CMCC”。在人流量大的公共場所,很快就有數(shù)十人的移動設(shè)備自動連接上此釣魚WiFi,而此時他們的上網(wǎng)信息均可被監(jiān)聽,包括電子郵箱的賬戶名和密碼均可以明文獲??!
實驗發(fā)現(xiàn),用獲取到的郵箱賬號和密碼登錄,可直接進入郵箱,隨意瀏覽郵件內(nèi)容和文檔。國內(nèi)幾乎所有郵箱服務(wù)全部淪陷!而郵箱往往綁定了社交、網(wǎng)購等許多重要的網(wǎng)絡(luò)服務(wù),攻擊者破解郵箱之后,還可以進一步威脅網(wǎng)民其他的信息和資產(chǎn)安全。
在上述實驗中,某網(wǎng)民的新浪郵箱就注冊了12306網(wǎng)站,工程師通過郵箱順利找回了賬戶密碼并成功登錄。12306網(wǎng)站中記錄的用戶真實的姓名、身份證號、手機號碼,以及大量的常用聯(lián)系人的真實信息,均遭到了泄露。別有用心的攻擊者利用這些身份信息、親屬關(guān)系,還可以破解更多帳號和服務(wù),引發(fā)鏈?zhǔn)叫?yīng),甚至進行電信詐騙!
其實,不僅12306網(wǎng)站,許多其他網(wǎng)絡(luò)服務(wù)都具有通過注冊郵箱找回密碼的機制。在上述實驗中,工程師利用這個方法還成功登錄了網(wǎng)民的亞馬遜賬戶,可以查看他的所有購物歷史記錄和收貨地址。但是,一些超級敏感和重要的網(wǎng)絡(luò)服務(wù),比如支付寶,就采用了雙重或者多重驗證的更加安全的機制,找回密碼不僅需要注冊郵箱,還需要手機短信驗證碼等信息。
鑒于12306網(wǎng)站用戶量巨大,還記錄著個人及親屬的大量真實且敏感的信息,安全專家認(rèn)為其現(xiàn)有的安全機制還存在提升的空間,提供了三點建議:第一,找回密碼需要手機驗證碼等其他輔助驗證機制;第二,身份證號、手機號等信息部分展示,中間變成“*”,只顯示前后4位;第三,登錄時進行數(shù)字證書驗證,登錄地點異常時,需要手機短信驗證。
安全專家還建議普通網(wǎng)民,盡量不要使用來歷不明的公共WiFi,更不要在連接公共WiFi的時候使用電子郵箱、網(wǎng)購、網(wǎng)銀等關(guān)鍵的網(wǎng)絡(luò)服務(wù);家中的路由器后臺和WiFi連接密碼也應(yīng)設(shè)置得復(fù)雜一些,減少被惡意攻擊和劫持的可能性;建議使用路由管理大師等工具免除被蹭網(wǎng)的風(fēng)險。