12306又出事了 抢完车票别忘了改密码

2014年12月25日17:55:0012306又出事了 抢完车票别忘了改密码已关闭评论

年关将至,许多人已经准备好各个抢票软件以便第一时间购票回家,这往往也是黑客们窃取用户数据的最好时机。

12月25日,互联网漏洞平台乌云网发布了一条12306用户数据泄露的报告,12306是火车票网上售票的唯一官方网站。报告指出12306网站的大量用户隐私数据在互联网疯传,其中包括用户账号、密码、邮箱甚至是身份证号等重要信息。目前该漏洞已经交至CNCERT国家互联网应急中心处理。

随后12306很快发布官方声明证实消息属实,指出泄露信息全部含有用户的明文密码,并表示泄漏源头来自第三方而非12306数据库。

界面新闻记者从安全行业人士了解到,明文密码一般指在未经过加密转换时,用户在登录时直接输入的密码。而12306网站数据库中的密码为多次加密的非明文转换码,因此断定所泄露信息应该是由其他网站和渠道流出,同时提醒用户“不要使用第三方抢票软件购票,或委托第三方网站购票”,以防信息外泄。

从事Web安全解决方案的知道创宇公司对此次信息泄密做出了进一步的研究和解释,根据他们对目前网上流传的一份泄漏文件(共计131,653条用户信息)的分析,用户信息是真实的,基本确定为黑客通过“撞库攻击”所得。随后360安全相关工程师也向界面新闻表示,事实很可能确实如此。

所谓“撞库攻击”,就是黑客会直接攻击各个网站,并从包括第三方抢票软件、第三方票务平台、甚至是各个论坛社区中调取用户账号和密码数据,同时将得到的用户数据保存后,转向尝试在淘宝、京东、12306等一系列大网站上是否可以登录,如果可以登录就可以进一步获取用户的其他信息。

但这次数据并不一定和所有第三方抢票软件泄密都有直接关系。抢票软件猎豹浏览器安全专家李铁军告诉界面新闻记者,此次泄密的信息主要是未加密的明文密码,拿到该密码的黑客可以直接登录他人的12306后台并实现所有功能。而明文密码一般出现在有离线抢票功能的抢票软件中。离线抢票即第三方服务托管服务,必须明文保存密码,无法加密。同时猎豹官方也发布声明,目前猎豹并不设置离线抢票功能,用户数据均为非明文密码保存,因此不存在相关风险。

据界面新闻记者了解,目前市面上的离线抢票功能的软件有360安全浏览器抢票专业版、搜狗浏览器和UC浏览器等等。随后界面新闻记者联系360浏览器,负责安全浏览器的工程师表示,在目前公开的131,653条记录中,仅有近2000条数据显示用户曾经同时试用过360安全浏览器,表明此次数据并不是由360浏览器泄露。此外360方面还指出,“公安机关已经根据这些受害用户信息进行调查,很快就会挖到泄露数据的源头。”

猎豹李铁军说,一般情况下有一定规模的正规网站会尽量避免明文密码保存,因此此次泄露的13万条记录极有可能就是黑客通过和其他网站数据库的撞库整理出来的。

12306此前有多次漏洞被曝光记录。早在今年1月份就有用户指出在12306可以使用假护照和假身份证完成购票。今年7月份,乌云还曝出12306购票软件漏洞将导致单个用户直接购得全车车票的现象。

对于用户自身来说,现在能做的除了更改12306用户密码以外,还需要注意自己在各个网站的密码尽量保持差异。“撞库的原理就是拿了用户账号和密码后去其他网站数据库一个个去尝试,”360有关负责人告诉界面新闻记者,“使用单一账号和单一密码的用户,受到攻击的可能性和影响都最大。”

此外猎豹安全有关专家还补充,“由于12306数据泄露的数据还包含手机号、身份证号,除了自己的信息之外,还会泄露亲友的身份信息。建议受信息泄露影响的所有人小心处理可能的诈骗电话和短信。同时,与银行转帐汇款有关的业务,务必电话确认身份。”

截至发稿时,已经陆续有一批被攻击的用户开始受到影响,不少用户反应之前购买好的票已经莫名被退票。

更多专业报道,请点击下载“界面新闻”APP

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信公众号扫一扫
  • weinxin