新聞源 財富源

2024年12月19日 星期四

財經 > 新聞 > 國內經濟 > 正文

字號:  

12306官網用戶資訊遭泄 多家搶票平臺“表清白”

  • 發佈時間:2014-12-26 08:26:41  來源:京華時報  作者:佚名  責任編輯:曹慧敏

  

  某數據網站用戶12月10日晚8點22分發帖稱,可下載遭洩露的用戶資訊,並配有用戶資訊截圖。網路截圖

  昨天上午,第三方漏洞報告平臺“烏雲網”披露,大量12306網站用戶資訊遭洩露,已知公開傳播的數據庫涉及的用戶數據超過13萬條,洩露資訊包括用戶賬號、明文密碼、身份證、郵箱等。12306官網回應稱,網泄用戶資訊經其他網站或其他渠道流出,並提醒旅客不要使用第三方搶票軟體購票。隨後,百度、獵豹、360等多家第三方購票平臺發聲稱與此次用戶資訊洩露事件無關。目前,公安機關已介入調查。

  網曝

  超13萬旅客資訊遭外泄

  昨天上午,第三方漏洞報告平臺“烏雲網”發佈檢測資訊稱,大量12306用戶數據在網際網路傳播售賣,已知公開傳播的數據庫涉及用戶數超過13萬條,包括用戶賬號、明文密碼、身份證、郵箱、信用卡資訊、購買記錄等。

  資訊稱,洩露途徑目前未知,無法確認是12306官方還是第三方搶票平臺洩露,漏洞已提交至國家網際網路應急中心處理。

  “烏雲網”合夥人鄔迪表示,網站發現漏洞後,召集多名“白帽子”(正面駭客,可識別電腦系統或網路系統中的安全漏洞並公佈)對遭洩露的數據庫隨機選取多組數據在12306官網進行驗證,竟均能登錄。

  記者從相關網站了解到,洩露數據資訊的文件標題為《12306郵箱-密碼-姓名-身份證-手機(售後群:31109xxxx).txt》,共計131653條記錄、文件約14M。

  回應

  12306官網

  洩露資訊係其他網站流出

  對此,12306官方網站昨天發佈公告稱,經網站認真核查,此洩露資訊全部含有用戶的明文密碼,並稱12306網站數據庫所有用戶密碼均為多次加密的非明文轉換碼,網上洩露的用戶資訊係經其他網站渠道流出。目前,公安機關已介入調查。

  12306網站提醒,為保障資訊安全,請旅客通過12306官網購票,不要使用第三方搶票軟體購票,或委託第三方網站購票,以防止旅客個人身份資訊外泄。

  同時,12306官網還提醒旅客,部分第三方網站開發的搶票神器中,有捆綁式銷售保險功能,請廣大旅客注意。

  第三方購票平臺

  多家搶票平臺發聲“表清白”

  昨天,12306網站發表聲明後,多家第三方搶票平臺紛紛發聲“以表清白”。

  百度表示,百度安全衛士將搶票功能整合到安全軟體的安裝包中進行保護,用戶資訊僅在安裝客戶端的電腦上,百度沒有存儲個人資訊,不存在洩露情況。

  獵豹也表示,此次事件與獵豹移動無關,獵豹移動既不存在保存用戶數據行為,也從未推出必須使用明文密碼的離線搶票功能。

  “360瀏覽器搶票軟體具有業界最嚴格的安全防護機制,從沒有發生數據洩露。”奇虎360安全工程師表示,此次12306數據洩露與搶票軟體無關,而是與其自身網站存在漏洞被駭客撞庫。360方面通過對涉及此次資訊洩露用戶進行抽樣調查後發現,有用戶沒有使用過搶票軟體或者採用了不同的搶票軟體。

  此外,UC瀏覽器、攜程網、高鐵管家APP等搶票平臺也均表示與此次用戶資訊洩露事件無關。

  探因

  疑為駭客“撞庫”獲取資訊

  獵豹安全專家李鐵軍認為,撞庫攻擊造成12306資訊洩露的可能性較大。導致此次12306網站用戶數據洩露有可能是以下幾種原因:一是12306被入侵,數據被盜;二是第三方搶票軟體存儲了12306的數據,被駭客入侵後被盜;三是駭客通過其他已洩露的郵箱數據庫,進行撞庫攻擊。

  “烏雲網”合夥人鄔迪也表示,初步推斷可能是駭客通過“撞庫方式”獲得。

  何為“撞庫”?鄔迪介紹,網友在網站註冊時,網站會將註冊用戶的數據保存在一個數據庫中。一些駭客會通過相關手段獲得並積累多個網站的數據庫,然後用積累數據庫的資訊對某網站進行逐個測試,當撞到積累的資訊可進入某網站時,就獲得了該網站的註冊資訊,這就是“撞庫”。

  影響

  旅客購票資訊可能遭篡改

  鄔迪稱,12306官網的用戶資訊遭到洩露可能造成三方面影響。一,由於網友可能在多網站共用同一個用戶名或密碼,因此遭洩露資訊用戶的其他網站賬號可能會被盜用,更多個人資訊因此被洩露;二,由於遭洩露資訊涉及用戶的姓名、身份證號、手機號等敏感個人資訊,因此會滋生各種不安全因素,比如遭遇網路詐騙、資訊詐騙等;三,洩露資訊可能遭到駭客利用,旅客購票資訊可能會遭到篡改。昨天,記者在微網志上發現,已有一些網友吐槽自己訂的火車票居然被退掉了。

  相關網路安全專家建議,用戶應儘快修改12306登錄密碼;修改登錄12306時使用的郵箱密碼,郵箱和12306網站不要使用相同的登錄密碼。同時,切勿使用離線搶票功能。因為離線搶票就是第三方託管服務,必須明文存密碼,且沒法加密。

  對此,鐵路部門也提示旅客,一定要通過官網或官方APP購買車票,避免不必要的損失。

  連結

  12306官網多次被曝存漏洞

  ◎2014年7月17日,“烏雲網”曝光12306購票軟體存漏洞,正常一部手機同一時間只能有一個賬號登錄來購票,票販子利用漏洞可使用一台電腦模擬多部手機多賬號連結12306的售票系統,一人就可無限買一車廂的票。

  ◎2014年7月,網友稱利用12306官網漏洞購票可選上下鋪,該漏洞隨後被修復。

  ◎2014年1月2日,網友稱可用假護照、假身份證隨意訂票。用身份證生成器做假身份證號,用號碼可在12306網站上訂票。12306工作人員稱,因網站未與公安系統聯網,故無法辨別身份證真偽。

  ◎2013年12月6日,新版中國鐵路客戶服務中心12306網站上線,僅幾個小時後被“烏雲網”指出存在漏洞,可能導致用戶資訊洩露。

熱圖一覽

高清圖集賞析

  • 股票名稱 最新價 漲跌幅