12306官网回应用户数据外泄:慎用抢票神器!
今天上午11点,国内最大的漏洞报告平台乌云官网爆出一个关于12306的重大漏洞。危害等级显示为“高”,漏洞类型则是“用户资料大量泄漏”。具体来说,这个漏洞会导致12306用户的账号、明文密码、身份证、邮箱等敏感信息泄漏,而泄漏的途径目前还不知道。
目前,公安机关已经介入调查。
对此,12306回应:系经其他网站或渠道流出。中铁客服中心回应称,泄露信息全部含有用户的明文密码,而12306数据库中的所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。 不要使用第三方抢票软件或委托购票。
360公司:从未发生数据泄露
针对今天上午12306网站用户资料大量泄露一事,360公司回应称,360浏览器抢票软件具有业界最严格的安全防护机制,从没有发生数据泄露情况。
知道创宇:黑客“撞库攻击”获得数据
事件发生后,知道创宇安全研究团队立刻获取了该文中提到的样本数据,经过初步推测该批数据的来源有3种可能性:黑客直接攻击网站;散播刷票软件等木马程序;利用现有用户数据进行“撞库攻击”。
经过 3个小时的调查,团队得出如下结论:
1、该批131653条的12306用户数据是真实的。2、该批数据基本确认为黑客通过“撞库攻击”所获得。3、当前网上并无18G的12306数据的流转迹象。 撞库攻击
黑客入侵有价值的网站,把注册用户的资料数据库全部盗走,俗称“拖库”。收集到用户名+密码信息后,黑客再尝试批量登陆其他网站,也就是进行“撞库”,由此得到一系列可以登陆的用户。
以京东之前的撞库举例,京东的数据库并没有泄漏,但黑客通过“撞库”的手法,“凑巧”获取到了一些京东用户的数据(用户名+密码),而这样的手法,几乎可以对付任何网站登录系统,用户在不同网站登录时使用相同的用户名和密码,就相当于给自己配了一把“万能钥匙”。
注:也就是说,假如现场君习惯用“我在现场”这个用户名和“123456”这个密码申请邮箱、注册论坛、上网购物、QQ聊天……如果现场君注册过的其中一个网站安全比较薄弱,黑客从网站获取现场君的用户名和密码后,就可以用这套用户名和密码去其他网站“碰碰运气”。以现场君的注册习惯,黑客将连连得手!
12306究竟有没有责任?
那么, 黑客到底攻击了哪个(或哪些)使用明文密码的网站,进行了“拖库”,然后通过“撞库攻击”获取了13多万条的数据呢?
责任究竟在谁?12306究竟有没有责任呢?目前还不明朗。现场君的分析是,假如黑客从别处“拖库”,那应该与12306没有关系。
知道创宇团队通过随机访问用户,目前已 排除了抢票软件泄漏的可能 。团队还随机联系了该批数据中的 多个qq用户,均反馈没有使用过抢票软件且近期没有购票行为。
团队专家余弦表示,这是目前推理出的最符合的结论,但是黑客世界水深且风云变幻,说不定爆出另一种掉下巴结论。大家只要知道:“我们是在做尽可能严谨的推理就好。”
12306官方网站在声明中表示,公安机关已经介入调查。
火速更改12306等网站的登录密码
余弦表示, 目前网上还可以下载到这些泄露的用户数据 。
现场君也在微博上看到了网友获得数据后的截图,所以——
广大12306用户务必尽快修改12306网站密码 ,其他网站、网银、第三方支付软件等利用与12306注册邮箱、密码一致的也应立即修改。更需要提醒的是,这些数据有可能被犯罪分子用作精准诈骗,近期应谨防诈骗短信、诈骗电话等。
应在官网购买火车票
在声明中,12306网站还提醒广大旅客,应通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止个人身份信息外泄。
另外,12306网站还提醒旅客,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能。
腾讯手机管家安全专家提醒,用户最好通过12306官方站点购买车票,“抢票软件”可能是本次用户数据泄露的元凶。
抢票平台可能泄露用户数据 尽管这次可能性不大
专家介绍,第三方平台为了让购票更迅捷,运行时可能省去了一些步骤。而这些软件大多未经安全检测,安全性难以保障。
除了12306外,CSDN、携程、天涯、当当等都曾被黑客攻破,导致用户个人信息泄露。腾讯手机管家安全专家提醒各大站点务必做好数据加密工作,杜绝使用明文密码行为,确保用户数据安全。
90%以上电信诈骗源于个人信息泄露
据天下无贼-反信息诈骗联盟统计,目前90%以上的电信诈骗源头都是“个人信息泄露”,直接导致的结果是电信诈骗从撒网式诈骗向精准诈骗升级,再配合网络改号软件、伪基站、钓鱼网址、木马病毒等高科技手段,让电信诈骗更容易得手,单个案件的金额越来越大。
安全专家支招防诈骗
学会设置密码丨 很多用户设置密码过于简单,最规范的密码设置方式是“大写字母+小写字母+数字+符号”,重要的账号要设置单独的密码,不要与其他账号重复。
保护好手机丨 万一手机被盗,个人身份信息又存在手机中,比如身份证照片,犯罪分子可以直接通过手机修改支付宝、淘宝等各类网购支付账号密码,导致资金被盗刷。
学会防范电信诈骗丨 目前,电信诈骗招数五花八门,广大手机用户当遇到公检法、航班改签、网购退款、10086积分等短信、电话时千万当心,绝大多数都是诈骗。同时,警方不会打电话办案,更不存在任何“安全账户”,不要向任何陌生账号转账,不要打开任何陌生网址。安装专业手机安全软件,比如,腾讯手机管家可实现对诈骗短信的精准拦截,可识别各类诈骗电话。(综合 来源:我在现场 新华视点 都市快报)
让新闻有深度,让思想有温度,新华网微信公号 ( 微信号: newsxinhua )带给你不一样的阅读体验。扫一扫,打开世界新大门!