12306信息泄露 互聯(lián)網(wǎng)時(shí)代用戶信息安全嗎?

責(zé)任編輯:editor004

2014-12-26 10:52:09

摘自:新京報(bào)

昨天上午10點(diǎn)59分,有網(wǎng)友在“烏云-漏洞報(bào)告平臺(tái)”發(fā)表一篇帖子稱,大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)傳播售賣。而同類手機(jī)搶票軟件客戶端,如“12306搶票助手”,同樣在支付信息里默認(rèn)有“購(gòu)交通意外險(xiǎn)20元”的信息,且頁(yè)面廣告摻雜,甚至有低俗廣告信息

昨天上午10點(diǎn)59分,有網(wǎng)友在“烏云-漏洞報(bào)告平臺(tái)”發(fā)表一篇帖子稱,大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)傳播售賣。根據(jù)該平臺(tái)披露的信息,目前已知公開傳播的數(shù)據(jù)涉及用戶數(shù)為131653條,尚不清楚是否有更多用戶數(shù)據(jù)被泄露。12306網(wǎng)站昨日對(duì)此回應(yīng)稱,網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出。

12306信息泄露 互聯(lián)網(wǎng)時(shí)代用戶信息安全嗎?

泄露信息包括用戶的明文密碼、身份證號(hào)碼、電子郵箱、手機(jī)號(hào)碼等。數(shù)據(jù)只是在傳播售賣,目前無法確認(rèn)用戶信息是由12306官方還是第三方搶票平臺(tái)泄露。

針對(duì)網(wǎng)上出現(xiàn)“12306網(wǎng)站用戶信息在互聯(lián)網(wǎng)上風(fēng)傳”的消息,昨天12306網(wǎng)站回應(yīng)稱,經(jīng)核查,此泄露信息全部含有用戶的明文密碼,12306網(wǎng)站數(shù)據(jù)庫(kù)所有用戶密碼均為多次加密的非明文轉(zhuǎn)換碼,網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出。12306稱已報(bào)警,警方已介入調(diào)查。

12306網(wǎng)站公告還提醒乘客,通過12306官方網(wǎng)站購(gòu)票,不要使用第三方搶票軟件購(gòu)票,或委托第三方網(wǎng)站購(gòu)票,以防止個(gè)人身份信息外泄。同時(shí),還提醒稱,部分第三方網(wǎng)站開發(fā)的搶票神器中,有捆綁式銷售保險(xiǎn)功能,請(qǐng)乘客注意。

用戶數(shù)據(jù)如何被泄露?

專家稱可能密碼早已泄露,通過“撞庫(kù)攻擊”整理

有關(guān)專家分析認(rèn)為,正常情況下,注重安全的網(wǎng)站都不會(huì)使用明文密碼。因此,這次泄露的13萬個(gè)記錄,極有可能是黑客通過其他數(shù)據(jù)庫(kù)“撞庫(kù)”整理出來的。

360安全專家安揚(yáng)也認(rèn)為,12306的用戶信息是被“撞庫(kù)”泄漏的,“撞庫(kù)”是指用黑客通過收集網(wǎng)絡(luò)上已泄露的用戶名及密碼信息,生成龐大的密碼庫(kù),然后到12306等網(wǎng)站嘗試批量登錄,得到一批可以登錄的用戶賬號(hào)及密碼。一些網(wǎng)絡(luò)安全公司昨天也發(fā)布聲明,并確認(rèn)12306數(shù)據(jù)泄露事件為“撞庫(kù)攻擊”。

誰(shuí)是“泄密者”?

專家稱基本確認(rèn)由黑客獲取,“12306網(wǎng)站賬號(hào)安全體系存缺陷”

12306在官方聲明中稱,網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出,并提醒用戶不要使用第三方搶票軟件購(gòu)票。

安揚(yáng)表示,根據(jù)安全研究人員分析,發(fā)現(xiàn)幾乎所有13萬條賬號(hào)密碼與之前一些游戲網(wǎng)站“泄密門”傳出的賬號(hào)密碼完全匹配,基本可以確認(rèn)該批數(shù)據(jù)是黑客通過撞庫(kù)獲得的。據(jù)悉這些信息可能在黑客之間“買賣”。12306網(wǎng)站被撞庫(kù),說明其賬號(hào)安全體系存在缺陷,才會(huì)被黑客利用自動(dòng)化程序嘗試登錄撞庫(kù)。

如何規(guī)避密碼泄露風(fēng)險(xiǎn)?

趕緊換密碼,不同網(wǎng)站用不同密碼并定期修改

能實(shí)現(xiàn)“撞庫(kù)攻擊”是因?yàn)楹芏嘤脩粼诓煌W(wǎng)站使用的是相同的賬號(hào)密碼,因此黑客能通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)址。

12306的信息泄露有可能衍生風(fēng)險(xiǎn),如郵箱被“撞庫(kù)”(用12306的用戶名密碼去嘗試登錄郵箱),造成更多個(gè)人信息被盜;因手機(jī)號(hào)身份證號(hào)行程的泄露,遭遇電信欺詐等,甚至可能遭遇已訂火車票被惡意退票的情況。

360安全專家安揚(yáng)提醒12306用戶注意修改密碼。如有其他重要賬號(hào)使用了相同的注冊(cè)郵箱和密碼,應(yīng)一并修改。

安揚(yáng)稱,公安機(jī)關(guān)只要根據(jù)這十余萬條數(shù)據(jù)相關(guān)用戶進(jìn)行調(diào)查,很快就能挖出泄露數(shù)據(jù)的源頭。本次事件也再次為互聯(lián)網(wǎng)上的信息安全敲響了警鐘,安揚(yáng)提醒用戶常用郵箱、網(wǎng)上支付等重要賬號(hào)一定要單獨(dú)設(shè)置高強(qiáng)度密碼,并定期對(duì)密碼進(jìn)行修改。 新京報(bào)記者林野劉夏

昨日,12306官方網(wǎng)站回復(fù)用戶數(shù)據(jù)大量泄露時(shí)表示,“部分第三方網(wǎng)站開發(fā)的搶票神器中,有捆綁式銷售保險(xiǎn)功能。”記者發(fā)現(xiàn)在手機(jī)客戶端搶票軟件中,存在默認(rèn)綁定支付20元意外險(xiǎn)的情況。

記者通過搜索引擎查詢“搶票軟件”,網(wǎng)友“評(píng)價(jià)較高”的搶票軟件中,如“360搶票王”、“百度搶票軟件”、“搜狐搶票軟件”等,均為免費(fèi)的瀏覽器插件類搶票軟件。

記者使用360瀏覽器,下載搶票小插件,點(diǎn)擊即可迅速完成安裝。點(diǎn)擊“車票預(yù)訂”開始預(yù)訂車票,選擇出發(fā)地、目的地,以及出發(fā)日期和時(shí)間,點(diǎn)擊綠色按鈕“開始刷票”。同時(shí),瀏覽器插件類搶票軟件也可以在手機(jī)上使用。

顯示刷票成功后,都需要填寫12306官網(wǎng)上的個(gè)人賬戶和密碼,進(jìn)入網(wǎng)站后進(jìn)行支付。應(yīng)付金額與票面價(jià)格相同,沒有銷售保險(xiǎn)的內(nèi)容。

記者此后通過手機(jī)搶票軟件買票。在安卓手機(jī)軟件中,搶票軟件類客戶端種類較多,通過百度手機(jī)助手查詢,顯示“火車票搶票”、“超級(jí)火車票”“火車票搶票軟件”等近30條客戶端信息。

記者隨機(jī)下載一款名為“超級(jí)火車票”的手機(jī)搶票軟件客戶端,進(jìn)入主界面,選擇1月1日“北京——保定”的火車票查詢,頁(yè)面顯示當(dāng)日的車次信息,硬座票價(jià)為23.5元。填寫完個(gè)人信息,點(diǎn)擊進(jìn)入支付界面,應(yīng)付金額則顯示為43.5元,比票面價(jià)格高了20元。

“支付金額怎么多了20元?”記者返回到預(yù)訂車票界面,在乘客信息下方,發(fā)現(xiàn)“購(gòu)交通意外險(xiǎn)20元”的默認(rèn)選項(xiàng)。點(diǎn)擊進(jìn)入內(nèi)界面,顯示“購(gòu)交通意外險(xiǎn),20元報(bào)50萬,訂單急速處理,享受人工退票、改簽服務(wù)。”也可勾選“不購(gòu)保險(xiǎn)”,提示“不提供人工退票、改簽服務(wù)”。

而同類手機(jī)搶票軟件客戶端,如“12306搶票助手”,同樣在支付信息里默認(rèn)有“購(gòu)交通意外險(xiǎn)20元”的信息,且頁(yè)面廣告摻雜,甚至有低俗廣告信息。

律師李瑞麗在接受媒體采訪時(shí)表示,“搶票軟件系統(tǒng)設(shè)置的‘取消購(gòu)買’選項(xiàng)比較隱蔽,違反了《消費(fèi)者權(quán)益保護(hù)法》。消費(fèi)者對(duì)所購(gòu)買的產(chǎn)品具有知情權(quán)和自主選擇權(quán),搶票軟件以這種模糊的選擇方式,搭售保險(xiǎn),涉嫌欺詐。”

使用這些網(wǎng)站的你有風(fēng)險(xiǎn)嗎?

多家第三方網(wǎng)站回應(yīng)泄密

百度

百度衛(wèi)士搶票寶相關(guān)負(fù)責(zé)人表示,百度衛(wèi)士搶票寶本身就是一款安全軟件,用戶的關(guān)鍵數(shù)據(jù)都是保存在本地,也就是用戶的電腦中,并不具備云同步功能,因此并不會(huì)出現(xiàn)用戶12306賬號(hào)、密碼、身份證號(hào)碼等敏感信息收集和泄露的問題。

攜程

此事與攜程沒有任何關(guān)系,攜程火車票的用戶賬號(hào)、密碼等相關(guān)數(shù)據(jù)是安全的,在傳輸和保存始終處于加密狀態(tài),任何未經(jīng)授權(quán)的人員都無法取得這些資料。

360

關(guān)于12306信息泄露,360回應(yīng)稱,360瀏覽器搶票軟件具有業(yè)界最嚴(yán)格的安全防護(hù)機(jī)制,從未發(fā)生數(shù)據(jù)泄露情況。通過對(duì)網(wǎng)上公開傳播的超13萬條12306用戶數(shù)據(jù)進(jìn)行調(diào)查分析,此事與360沒有任何關(guān)系。公安機(jī)關(guān)能根據(jù)這些受害用戶信息進(jìn)行調(diào)查,很快就能挖出泄露數(shù)據(jù)的源頭。

騰訊

騰訊手機(jī)管家安全專家提醒,用戶最好通過12306官方站點(diǎn)購(gòu)買車票,同時(shí)建議廣大12306用戶務(wù)必盡快修改12306網(wǎng)站密碼,其他網(wǎng)站、網(wǎng)銀、第三方支付軟件等利用與12306注冊(cè)郵箱、密碼一致的也應(yīng)立即修改。更需要提醒的是,這些數(shù)據(jù)有可能被犯罪分子用作精準(zhǔn)詐騙,近期應(yīng)謹(jǐn)防詐騙短信、詐騙電話等。

搜狗

針對(duì)12306數(shù)據(jù)泄露,搜狗瀏覽器官方微博聲明稱:1、建議用戶盡快修改12306賬戶的密碼,以防范重要的個(gè)人信息被泄露,造成不必要的損失;2、請(qǐng)及時(shí)查詢已購(gòu)的車票是否被惡意退票,以保證返鄉(xiāng)行程的一路平安。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)