“泄密”陷“羅生門” 趕緊換密碼
- 發佈時間:2014-12-26 07:43:00 來源:廣州日報 責任編輯:時習
提前60天買票變囤票 長途票多過短途票受質疑 13萬條12306用戶數據又遭洩露
編者按
昨日,國內最大的漏洞報告平臺烏雲官網爆出,大約13萬條12306用戶數據在網際網路上被洩露並瘋傳。這意味著駭客完全可以利用用戶12306賬號進行買票、退票等操作。
記者隨後採訪多家安全公司獲悉,這次洩露的13萬條記錄,極可能是駭客通過其他數據庫撞庫整理出來的,後續還將産生更大的危害。
事實上,春運搶票大戰滋生的問題不止這一個。今年春運火車票預售期改為60天,買票難並未緩解,“囤票黨”應運而生,一時間退票的比買票的還多。
此外,不少人吐槽12306網站購票堪比“雙11”秒殺,一開搶便秒光;同一條線路車次中,長途火車票不時有餘票放出,而短途車票卻一票難求。有業內人士指出,這與鐵路部門“區間限售”政策有關。然而,限售政策真的合理嗎?
廣州日報訊 昨日,國內最大的漏洞報告平臺烏雲官網爆出,大約13萬條12306用戶數據在網際網路上被洩露並瘋傳,包括用戶賬號、明文密碼、身份證郵箱等資訊。這意味著駭客完全可以利用用戶12306賬號進行買票、退票等操作。
與多家網站數據洩露有關
多網站用同一密碼存隱患
昨日,記者隨機抽取了十多個賬號進行試驗,均成功登錄了12306,證明了該批數據是準確的。
瑞星公司人士説,本次洩露事件,很可能與網民使用的搶票軟體或購票網站安全性有關,問題的具體原因還在進一步核實中。
而獵豹公司人士説,正常情況下,注重安全的網站都不會使用明文密碼。因此,有關專家懷疑這次洩露的13萬條記錄,極可能是駭客通過其他數據庫撞庫整理出來的。
到底駭客是如何“撞庫”整理出來的呢?知道創宇一位人士説,通過搜索以往網際網路上的數據進行匹配,從17173.com、7k7k.com、uuu9.com等網站洩露流傳的數據中搜索到了該批13.15萬條用戶數據,基本可以確認該批數據全部是通過撞庫獲得。“這説明用戶在多個網站使用同一密碼的情況很普遍。”該人士説。
搶票軟體安全性眾説紛紜
此次數據洩露跟搶票軟體有沒有關係? 目前,各大瀏覽器見縫插針地推出了網上搶票版,市面上的搶票軟體已有十幾款之多。中國鐵道科學研究院電子計算技術研究所副所長朱建生對媒體説:從保護個人資訊安全的角度,建議不要使用第三方軟體,因為將賬戶和密碼交給第三方,安全是未知數。
騰訊一位人士則説,搶票軟體安全性還是有保障的,比如在賬號保護和支付環節搭載安全防護體系,安全性可能就比較強。
而獵豹瀏覽器相關産品負責人説,這需要區別對待,線上搶票軟體“不存在安全隱患”,因為只是模擬用戶在12306的操作,登錄和下訂單等內容都是直接通過12306的https請求操作的,沒有存儲用戶資訊。
他説,但像離線搶票因為需要在插件商的伺服器存儲賬號密碼等相關資訊,可能會有安全隱患。
後續或還將産生更大危害
據瑞星安全專家介紹,此次洩露的用戶資訊約有13萬條,但很可能只是冰山一角,近期不排除有成百上千萬的用戶資訊還將遭受洩露或黑市買賣。由於被洩露的資訊真實率極高,而且大量用戶使用手機號、QQ郵箱當做用戶名,因此,除購票網站資訊被洩露以外,後續還將産生更大的危害,例如:QQ、微信、郵箱等關鍵網路服務被盜,從而給網民帶來嚴重的經濟損失。
焦點關注:
新“玩法”下春運你搶到票了嗎?
問題1
預售提前催生囤票:退票的比買票的還多
儘管節前購票高峰已結束,但昨日上午,廣州火車站售票廳的三個退票窗口前還是早早排起了長隊,這些人幾乎都是在買到了滿意的車票之後,趕在15天免費退票期之前來退掉多餘的“囤票”。
在今年“火車票預售期提前60天”及“提前15天退票不收取退票費”新規下,囤票現象並非個案。王女士稱,因無法確定單位的放假時間,只好囤下幾張不同時間的車票備著以防萬一,在接到準確放假通知後,她便前來退票。
此前還有報道稱,上海一對夫妻為搶兩張回哈爾濱的車票,一共囤了21張車票。一直沒買到票的張先生表示,“這些人佔用這麼多票,那我們沒買到票的人怎麼辦?”囤了一張站票的白領小周則説,“現在提前60天就為買票寢食難安,嚴重影響年底工作。”
鐵路部門工作人員表示,囤票這種購票方式影響了他人購票,但目前卻還沒有辦法進行約束。有業內人士指出,“在運力增加有限的情況下,預售期拉長到60天無濟於事,以往買不到票的依然買不到票,只不過把搶票的時間提前了。唯一的好處就是每天刷刷撿別人退票的機會多一些,但這樣會耽誤更多時間和精力。”
問題2
提前15天退票免費:“黃牛”趁機興風作浪
由於囤票問題嚴重,有不少人開始質疑,“12306網站為何不限制每張身份證只能購買一張火車票?”對此,相關部門表示,對不同天同一車次或同一天不同車次,使用同一身份證號訂票是沒有問題的,部分旅客囤積多張火車票的做法並不違反火車票實名制規則。
廣州日報記者昨日在廣州火車站發現,退票窗口的排隊人群周圍,總有不少形跡可疑的男女悄悄上前與排隊退票者交談。一名被搭話的退票者稱,“他們是黃牛,想要我的退票。我説:‘我怎麼能保證我退的票他們就能買到呢?’那個人只説他會跟我一起到窗口去,其他的他自有辦法。”
“雖然一張身份證只能買一張票,但‘黃牛’總有辦法倒賣車票。”一業內人士稱,“提前15天退票免收手續費,這大大增加了黃牛作案的機會。”他認為,關鍵問題還是要加大力度打擊倒票行為。
問題3
區間限售不透明:搶票堪比“雙11”秒殺
在廣州打工的張阿姨想搶一張能在除夕前回老家湖南嶽陽的高鐵票。可從12月19日到12月22日,連續三天都出現一開搶便一秒售完的情況。幫忙搶票的李小姐表示,“比雙11的秒殺還難!”
此後李小姐意外發現,“下午G68廣州南到岳陽一直顯示無票,但到晚上就突然有了很多G68到石家莊的車票,於是只好買了一張到石家莊的二等座讓阿姨中途到岳陽下車。”記者發現,G68廣州到石家莊的二等座車票比到岳陽貴了412元。
對此,有內部人士稱,上述情況與區間限售政策有關,一開搶便“秒光”,很大一部分原因是該車次在限售區間內沒有放票或極少放票。上述人士舉例稱,“假如從A地為始發站,B地為終點站,那麼前往中途C地的火車票便極有可能被限售。”但石家莊也並非G68終點站。
不少網民猜測,鐵路部門“棄短護長”或許是鐵路公司用以牟利的手段。“都去買長途票,他們就多賺錢。”對此,有業內人士表示,關鍵是做到合理限售,“應首先在技術上得出在哪些路段限售,按什麼比例限售,這些都要有精確統計。”
12306官方:
“針對網際網路上出現“12306網站用戶資訊在網際網路上瘋傳”的報道,經12306網站認真核查,此洩露資訊全部含有用戶的明文密碼。而12306網站數據庫所有用戶密碼均為多次加密的非明文轉換碼,網上洩露的用戶資訊係經其他網站或渠道流出。目前,公安機關已經介入調查。
為保障廣大用戶的資訊安全,請旅客通過12306官方網站或官方手機客戶端購票,不要使用第三方搶票軟體購票,或委託第三方網站購票,以防止您的個人身份資訊外泄。”
360瀏覽器搶票軟體:
“360瀏覽器搶票軟體具有業界最嚴格的安全防護機制,從沒有發生數據洩露情況。通過對網上公開傳播的超過13萬條12306用戶數據進行調查分析,此事與360沒有任何關係。公安機關可以根據這些受害用戶資訊進行調查,很快就能挖出洩露數據的源頭。”
補救措施
公信手機衛士工程師、安全專家王佔濤提示説,在烏雲的漏洞等級裏,10就是很高的了;目前還不知道具體原因出在哪,建議馬上改掉12306的密碼,各常用網站間的註冊密碼最好不要一樣。然後,告訴12306上有資料的親戚朋友:在最近半年內,不要相信類似任何“我是小王的朋友、警官、醫生、學校老師……”的電話、短信,如果遇到緊急事態,一定要當面確認,才能從事匯款、ATM操作等高危動作。