close
臨近春運,12306網站又遇上了麻煩。昨日下午,很多網站的彈窗把我們嚇得不輕:火速改密碼!12306現用戶數據泄漏高危漏洞。這條安全警示的信息源來自於第三方漏洞報告平臺烏雲。據其發佈的一則漏洞報告稱,大量12306用戶數據在互聯網遭瘋傳,包括用戶賬號、明文密碼、身份證郵箱等。隨後,12306官網對此回應,網上泄漏的用戶信息系經其他網站或渠道流出,並非12306網站。
對此,昨日成都商報記者採訪了多名安全機構專家,初步確認該事件為“撞庫攻擊”導致,12306網站自身漏洞、第三方搶票平臺也可能成為泄漏途徑。
12月25日
漏洞報告平臺烏雲發佈漏洞報告稱,大量12306用戶數據在互聯網瘋傳
瑞星推測
泄漏可能路徑有三:
第一是12306自身出現問題;
其次是第三方搶票軟件或插件出現信息漏洞;
最大的可能性是黑客用“撞庫”的方式獲取這部分用戶信息
撞庫攻擊
簡單來說,就是拿其他地方泄漏的用戶名和密碼來這裡試,如果用戶名和密碼都一樣,就撞開了。
12306:用戶數據經其他渠道流出
據該漏洞作者,名為“追尋的白帽子”披露,這批12306數據先是在網上售賣,目前已變成公開傳播。記者從12306官網獲悉,針對互聯網上出現“12306網站用戶信息在互聯網上瘋傳”的報道,經該網站認真核查,此泄露信息全部含有用戶的明文密碼,而該網站數據庫所有用戶密碼均為多次加密的非明文轉換碼,網上泄漏的用戶信息系經其他網站或渠道流出。目前,公安機關已經介入調查。
記者瞭解到,所謂明文密碼,即信息里將清晰顯示用戶的賬戶密碼、姓名、身份證號,那麼黑客完全可以操縱你的12306賬號進行買票、退票等操作。正常情況下,註重安全的網站都不會使用明文密碼。
據悉,此前12306已多次被曝出漏洞。早在今年1月份,有網友曝料稱,12306訂票網站可以利用假護照、假身份證完成訂票。此後,又曝出利用漏洞選上下鋪的攻略在網上轉發。今年7月15日,烏雲又曝出12306購票軟件存在漏洞,一人可購買一車廂的全部車票。
知道創宇:黑客發動“撞庫攻擊”
截至昨日,國內安全機構知道創宇確認12306數據泄漏事件為“撞庫攻擊”。
知道創宇技術副總裁餘弦告訴成都商報記者,所謂撞庫攻擊,簡單來說,就是拿其他地方泄漏的用戶名和密碼來這裡試,如果用戶名和密碼都一樣,就撞開了。知道創宇是目前唯一一家披露了驗證過程和邏輯的安全機構。
事件發生後,知道創宇獲取到了該文中提到的樣本數據,文件共計131653條記錄、文件大小14兆(Mb)。據記者瞭解,知道創宇安全研究團隊針對該批數據進行了調查,他們隨機抽取了一批賬號均成功登錄12306,證明瞭該批數據是真實的;隨機聯繫了該批數據中的多個QQ用戶,均反饋沒有使用過搶票軟件且近期沒有購票行為。
調查後,知道創宇安全研究團隊獲得如下結論:該批131653條的12306網站用戶數據是真實的。他們通過與已有泄漏信息庫的對比,得出了這次被泄漏信息並非新泄漏,該批數據基本確認為黑客通過“撞庫攻擊”所獲得。
瑞星:12306子網站發現漏洞
根據瑞星互聯網攻防實驗室研究,推測出信息泄漏可能路徑有三:第一是12306自身出現問題;其次是第三方搶票軟件或插件出現信息漏洞;最大的可能性是黑客用“撞庫”的方式獲取這部分用戶信息。
專家介紹,第三方平臺為了讓購票更迅捷,運行時可能省去了一些步驟,安全性難以保障。此前,CSDN、攜程、天涯、噹噹等都曾被黑客攻破,導致用戶信息泄漏。
值得一提的是,瑞星高級工程師唐威表示,瑞星在對12306網站安全監測時發現,12306主站下屬包括南方貨物快運服務站、東北貨物快運服務站等6個子網站發現了Struts2漏洞,利用該漏洞入侵者可以獲取子網站管理員權限,並可以通過惡意代碼控制子網站服務器對主站進行跳板入侵獲取信息。
“可以肯定的是漏洞存在,控制子網服務器入侵主網站也是黑客管用手段,理想狀態下可以通過該漏洞取得用戶信息,但是因權限不允許測試,瑞星也不能確定這是信息泄密的路徑。”
安全提醒:註冊郵箱和網站密碼最好不同
針對目前狀況,獵豹移動安全專家則建議用戶,立刻修改12306登錄密碼,儘快修改登錄12306時使用的郵箱密碼,郵箱服務和12306網站服務一定不要使用相同的登錄密碼。由於12306數據泄漏的數據還包含手機號、身份證號,除了自己的信息之外,還會泄漏親友的身份信息。建議受信息泄漏影響的所有人小心處理可能的詐騙電話和短信。同時,與銀行轉賬匯款有關的業務,務必電話確認身份。
此外,據天下無賊-反信息詐騙聯盟統計,目前90%以上的電信詐騙源頭都是“個人信息泄漏”,詐騙招數五花八門,當遇到公檢法、航班改簽、網購退款、手機積分等短信、電話時千萬當心,絕大多數都是詐騙。
成都商報記者 楊舸 張舒 (原標題:你的12306密碼需要改改了)
全站熱搜
留言列表
