火车票官方购票网站12306.cn用户密码身份证数据库在网上泄露

在网上用抢票软件抢火车票的网友们要小心了,2014年12月25日圣诞节这一天,漏洞报告平台Wooyun网出现了一则关于12306的漏洞报告,危害等级显示为“高”,漏洞类型则是“用户资料大量泄漏”。据了解,这则关于12306的漏洞报告,危害登记显示为“高”,漏洞类型则是“用户资料大量泄漏”,这意味着,这个漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露,而泄漏的途径目前还不知道。只在几个小时之内,网络上传出12306数据库大小的各个版本:有14M、18G、20G、37G等等。

现在该漏洞已经提交给了国家互联网应急中心进行处理,暂无进一步消息。
自2014年12月21号起,网上开始销售2015年除夕火车票。随即,作为唯一网络渠道,12306网站迎来抢票最高峰。但遗憾的是和以前一样,这个几亿元人民币开发的火车票购票网站还是没有抗住压力,页面刷新缓慢、连续查询时出现“刷新失败”,甚至还会在关键时刻突然取消用户的登录。

从12306网站这几年的运营情况年,2012年底该网站就曾因故障2次发公告暂停网上售票。如果说当时因为网站刚刚建立,尚缺乏运营经验导致问题频出还情有可原,到现在再次出现问题令众多网友对其感到愤怒。

现在这段时期正值春运抢火车票高峰时期,Wooyun漏洞平台突然爆出了这个令人震惊的消息:12306用户资料疑似大量泄漏,甚至有明文形式的密码,以及身份证、邮箱等敏感信息。12306铁路客服中心的态度倒是真不错,迅速做出回应,称该网站数据库的所有用户密码都是多次加密的非明文转换码,网上泄漏的应该来自其他渠道,同时提醒用户不要用第三方抢票软件,只上12306。

12306用户密码身份证泄露到底怎么回事呢?
Wooyun方面也对此进行了深入研究,发现利用正在流传的数据,随即抽查几个帐号验证,确实可以登录。

有安全专家分析认为,数据疑似黑客撞库后整理得到,而并非12306网站直接泄漏,请用户及时修改密码,同时慎用抢票工具。

所谓“撞库”,是一种针对数据库的攻击方式,通过攻击者所拥有数据库的数据通攻击目标数据库,可以理解为使用在A网站盗取的账户密码来登陆B网站,因为很多用户在不同网站使用的是相同的账号密码。

再打个比方,就是你从大楼保安那里复制了一大串钥匙,然后跑到隔壁同一家建筑公司、同一批设计人员造的楼里,一把把试着去开不同的门。

最近还有个“拖库”的名词经常在网上出现,“拖库”是指从数据库中直接导出数据,更加严重,因为这意味着数据库本身存在很大的漏洞。

也有人怀疑是第三方抢票软件泄露所致,目前还没有证据可以证明,但无论如何,抢票的心情可以理解,但一定要注意保护自己的安全,并强烈建议12306用户更改密码,最好是和其他网站不同的密码。

但是这些数据已经在网上公然叫卖了,如果被黄牛拿到,把我们辛辛苦苦订的票退掉倒腾给别人,岂不是太郁闷了!

12306

火车票官方订票网站12306圣诞节这一天被曝泄露大量用户个人信息,百度安全方面回应表示,未曾收集用户信息,个人隐私数据并未从百度安全卫士泄露,建议用户修改密码。在12306被报道用户信息流出后,中国铁路客户服务中心回应称,12306所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系其他网站或渠道流出。

而上述其他网站或渠道便指的是第三方抢票渠道,包括具有抢票功能的浏览器和客户端。对此,百度方面表示,百度安全卫士将抢票功能集成到安全软件的安装包中进行保护,用户信息仅在安装客户端的电脑上,百度没有存储个人信息,并不存在泄露情况。

据了解如果是从抢票浏览器上登录,一些网站会收集并存储用户信息到云端服务器,从而进行同步方便用户更换PC实现信息免输入和快速登录,这种模式用户信息安全难以得到保障,较容易受到攻击。

百度方面建议用户立刻修改12306登录密码,以及其他网站上一致的用户名和密码等个人信息。也请大家不要下载和传播12306.cn用户密码身份证数据库。


评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注