昨天,國內知名第三方漏洞報告平臺“烏雲”確認,12306網站用戶數據泄露,內容包括用戶賬號、明文密碼、身份證郵箱等信息。隨後,12306網站針對此事件發佈公告。公安機關已經介入調查。到了晚上,各搶票軟件紛紛做出回應,表示未曾泄露用戶信息。
  揚子晚報全媒體記者 徐媛園
  12306:搶票軟件有嫌疑
  昨天,國內漏洞報告平臺烏雲官網曝光:大量12306用戶數據在互聯網瘋傳,包括用戶賬號、明文密碼、身份證、郵箱等數量超13萬條,泄露途徑未知。數據只是在傳播售賣,無法確認是12306官方還是第三方搶票平臺泄露。
  隨後,鐵路客戶服務中心通過微信推送等渠道統一回應:12306所有用戶密碼均為多次加密的非明文轉換碼,網上泄露的用戶信息系其他網站或渠道流出。據介紹,明文密碼泄露的意思是:假如用戶設置的12306網站密碼是123456,那麼黑客拿到的數據庫里,就會明明白白寫著用戶的名字、身份證號碼,那麼黑客完全可以操縱用戶的12306賬號進行買票、退票等操作。
  鐵路客戶服務中心提醒旅客:通過12306官方網站購票,不要使用第三方搶票軟件購票或委托第三方網站購票,以防止個人身份信息外泄。部分第三方網站開發的搶票神器中,有捆綁式銷售保險功能,請廣大旅客註意。
  專家:可能是“撞庫”攻擊
  昨天,有互聯網專家初步推測,這批數據的來源有3種可能性:黑客直接攻擊網站、散播刷票軟件等木馬程序、利用現有用戶數據進行“撞庫攻擊”。經過安全調查,基本可以確認數據全部是通過“撞庫”獲得,即黑客以12306泄露的用戶名和密碼去嘗試登錄郵箱,由此導致更多個人信息因此被盜。“烏雲”平臺也通過官方微博表示,數據是疑似黑客撞庫後整理得到的,並非12306直接泄露。
  所謂“撞庫”,可以理解為使用在A網站盜取的賬戶密碼來登錄B網站,因為很多用戶在不同網站使用的是相同的賬號密碼。打個比方,就是你從大樓保安那裡複製了一大串鑰匙,然後跑到隔壁同一家建築公司、同一批設計人員造的樓里,一把把試著去開不同的門。
  獵豹移動安全專家李鐵軍在接受媒體採訪時表示,12306數據泄露的衍生風險包括:1.郵箱被撞庫(黑客拿12306泄露的用戶名密碼去嘗試登錄郵箱),更多個人信息因此被盜;2.因手機號身份證號行程被泄露,騙子可能以退票為藉口行騙;3.因12306的數據實際包含親友信息,可能導致事件的影響面極大;4.受害者遭遇惡作劇,預訂的火車票被惡意退票。正值春運期間,目前專家建議網友儘快修改12306登錄密碼,以後儘量少用搶票軟件。
  搶票軟件:不是我乾的!
  12306在回應中稱“其他網站或渠道”,指的是第三方搶票渠道,包括具有搶票功能的瀏覽器和客戶端。
  昨天,百度方面表示,百度安全衛士將搶票功能集成到安全軟件的安裝包中,用戶信息僅在安裝客戶端的電腦上,百度沒有存儲個人信息,不存在泄露情況。
  360瀏覽器搶票軟件回應:關於12306信息泄露的回應:360瀏覽器搶票軟件具有業界最嚴格的安全防護機制,從沒有發生數據泄露情況。通過對網上公開傳播的超過13萬條12306用戶數據進行調查分析,此事與360沒有任何關係。獵豹瀏覽器官方微博也宣佈,“沒有開發過任何需要用戶提交個人資料信息的雲搶票或者離線搶票功能,用戶使用獵豹瀏覽器搶票時的入口是12306官方登陸界面。獵豹瀏覽器現在不會,以後也不會上傳或要求用戶提交個人信息資料,請大家放心。”
  針對泄露事件,各方建議用戶應立即採取以下措施:1、立刻修改12306賬號,以及登錄12306時使用的郵箱密碼,同時一定要註意不能使用相同的登錄密碼;2、與銀行轉賬匯款有關的業務,務必電話確認身份。  (原標題:網上訂張火車票,就這麼成了“透明人”?)
創作者介紹

ww88wwmqgs 發表在 痞客邦 PIXNET 留言(0) 人氣()