某数据网站用户12月10日晚8点22分发帖称,可下载遭泄露的用户信息,并配有用户信息截图。网络截图
昨天上午,第三方漏洞报告平台“乌云网”披露,大量12306网站用户信息遭泄露,已知公开传播的数据库涉及的用户数据超过13万条,泄露信息包括用户账号、明文密码、身份证、邮箱等。12306官网回应称,网泄用户信息经其他网站或其他渠道流出,并提醒旅客不要使用第三方抢票软件购票。随后,百度、猎豹、360等多家第三方购票平台发声称与此次用户信息泄露事件无关。目前,公安机关已介入调查。
■网曝
超13万旅客信息遭外泄
昨天上午,第三方漏洞报告平台“乌云网”发布检测信息称,大量12306用户数据在互联网传播售卖,已知公开传播的数据库涉及用户数超过13万条,包括用户账号、明文密码、身份证、邮箱、信用卡信息、购买记录等。
信息称,泄露途径目前未知,无法确认是12306官方还是第三方抢票平台泄露,漏洞已提交至国家互联网应急中心处理。
“乌云网”合伙人邬迪表示,网站发现漏洞后,召集多名“白帽子”(正面黑客,可识别计算机系统或网络系统中的安全漏洞并公布)对遭泄露的数据库随机选取多组数据在12306官网进行验证,竟均能登录。
记者从相关网站了解到,泄露数据信息的文件标题为《12306邮箱-密码-姓名-身份证-手机(售后群:31109xxxx).txt》,共计131653条记录、文件约14M。
■回应
12306官网
泄露信息系其他网站流出
对此,12306官方网站昨天发布公告称,经网站认真核查,此泄露信息全部含有用户的明文密码,并称12306网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站渠道流出。目前,公安机关已介入调查。
12306网站提醒,为保障信息安全,请旅客通过12306官网购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止旅客个人身份信息外泄。
同时,12306官网还提醒旅客,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请广大旅客注意。
第三方购票平台
多家抢票平台发声“表清白”
昨天,12306网站发表声明后,多家第三方抢票平台纷纷发声“以表清白”。
百度表示,百度安全卫士将抢票功能集成到安全软件的安装包中进行保护,用户信息仅在安装客户端的电脑上,百度没有存储个人信息,不存在泄露情况。
猎豹也表示,此次事件与猎豹移动无关,猎豹移动既不存在保存用户数据行为,也从未推出必须使用明文密码的离线抢票功能。
“360浏览器抢票软件具有业界最严格的安全防护机制,从没有发生数据泄露。”奇虎360安全工程师表示,此次12306数据泄露与抢票软件无关,而是与其自身网站存在漏洞被黑客撞库。360方面通过对涉及此次信息泄露用户进行抽样调查后发现,有用户没有使用过抢票软件或者采用了不同的抢票软件。
此外,UC浏览器、携程网、高铁管家APP等抢票平台也均表示与此次用户信息泄露事件无关。
■探因
疑为黑客“撞库”获取信息
猎豹安全专家李铁军认为,撞库攻击造成12306信息泄露的可能性较大。导致此次12306网站用户数据泄露有可能是以下几种原因:一是12306被入侵,数据被盗;二是第三方抢票软件存储了12306的数据,被黑客入侵后被盗;三是黑客通过其他已泄露的邮箱数据库,进行撞库攻击。
“乌云网”合伙人邬迪也表示,初步推断可能是黑客通过“撞库方式”获得。
何为“撞库”?邬迪介绍,网友在网站注册时,网站会将注册用户的数据保存在一个数据库中。一些黑客会通过相关手段获得并积累多个网站的数据库,然后用积累数据库的信息对某网站进行逐个测试,当撞到积累的信息可进入某网站时,就获得了该网站的注册信息,这就是“撞库”。
■影响
旅客购票信息可能遭篡改
邬迪称,12306官网的用户信息遭到泄露可能造成三方面影响。一,由于网友可能在多网站共用同一个用户名或密码,因此遭泄露信息用户的其它网站账号可能会被盗用,更多个人信息因此被泄露;二,由于遭泄露信息涉及用户的姓名、身份证号、手机号等敏感个人信息,因此会滋生各种不安全因素,比如遭遇网络诈骗、信息诈骗等;三,泄露信息可能遭到黑客利用,旅客购票信息可能会遭到篡改。昨天,记者在微博上发现,已有一些网友吐槽自己订的火车票居然被退掉了。
相关网络安全专家建议,用户应尽快修改12306登录密码;修改登录12306时使用的邮箱密码,邮箱和12306网站不要使用相同的登录密码。同时,切勿使用离线抢票功能。因为离线抢票就是第三方托管服务,必须明文存密码,且没法加密。
对此,铁路部门也提示旅客,一定要通过官网或官方APP购买车票,避免不必要的损失。
■链接
12306官网多次被曝存漏洞
◎2014年7月17日,“乌云网”曝光12306购票软件存漏洞,正常一部手机同一时间只能有一个账号登录来购票,票贩子利用漏洞可使用一台电脑模拟多部手机多账号链接12306的售票系统,一人就可无限买一车厢的票。
◎2014年7月,网友称利用12306官网漏洞购票可选上下铺,该漏洞随后被修复。
◎2014年1月2日,网友称可用假护照、假身份证随意订票。用身份证生成器做假身份证号,用号码可在12306网站上订票。12306工作人员称,因网站未与公安系统联网,故无法辨别身份证真伪。
◎2013年12月6日,新版中国铁路客户服务中心12306网站上线,仅几个小时后被“乌云网”指出存在漏洞,可能导致用户信息泄露。