當前位置:首頁>>關于宣盟>>聯系我們>>新聞媒體>>行業動態
出處: 作者: 發表時間:2014-12-27
12月25日,國內漏洞報告平臺烏云官網爆出,大量12306用戶數據在互聯網瘋傳包括用戶帳號、明文密碼、身份證郵箱等信息。
關于此次12306用戶數據泄露事件,國內某安全研究團隊方面驗證了該消息的準確性,并獲取到了該文中提到的樣本數據,文件標題為《12306 郵箱-密碼-姓名-身份證-手機(售后群:31109xxxx).txt》,共計131653條記錄、文件大小14M。隨機抽取了一批帳號(約50個)均成功登陸12306,證明了該批數據是準確的,對于里面出現的明文用戶密碼,該團隊初步推測是利用現有用戶數據進行“撞庫”。
針對用戶信息泄露一事,12306官方網站隨后發布公告稱,經過調查,此次泄露信息全部含有用戶的明文密碼,并稱12306網站數據庫所有用戶密碼均為多次加密的非明文轉換碼,同時暗示用戶的明文密碼為第三方搶票軟件泄漏。
此前,12306已多次被曝出漏洞。早在今年1月份,有網友爆料稱,12306訂票網站可以利用假護照、假身份證完成訂票。之后利用12306漏洞購票選上下鋪的攻略在網上轉發。今年7月15日,烏云又曝出12306購票軟件存在漏洞,一人可購買一車廂票。
12306數據泄漏
除了12306網站自身漏洞,近年來大量出現的第三方搶票平臺也成為用戶數據泄露的可能途徑。專家介紹,第三方平臺為了讓購票更迅捷,運行時可能省去了一些步驟。而這些軟件大多未經安全檢測,安全性難以保障,用戶應盡量使用官網購票,避免使用第三方購票途徑。
目前,公安機關已經介入調查。
12306網站的用戶數據泄露,有可能是12306自身網站漏洞引來拖庫,導致用戶帳號、身份證、郵箱等信息泄漏,然后別人利用帳號郵箱對比CSDN、天涯進行撞庫,得出明文密碼。搶票軟件泄漏用戶數據的可能性較小,因為搶票軟件通常不會保存用戶身份證等信息。
后續報道:12月26日消息,中國鐵路官方微博26日發布消息稱,鐵路公安已經迅速抓捕12306泄密事件嫌疑人,目前,案件正在審理中。以下是官方公告全文:
鐵路公安機關迅速抓獲竊取他人電子信息的犯罪嫌疑人
鐵路公安機關于2014年12月25日晚,將涉嫌竊取并泄露他人電子信息的犯罪嫌疑人抓獲。經查,嫌疑人蔣某某、施某某通過收集互聯網某游戲網站以及其他多個網站泄露的用戶名加密信息,嘗試登錄其他網站進行“撞庫”,非法獲取用戶的其他信息,并謀取非法利益。
鐵路公安機關提醒廣大旅客,為了保護您的各人電子信息安全,在設置12306網站登錄密碼時不要使用在其他網站相同的密碼,并且不要通過第三方網站購票。
目前,案件正在審理中。
上一篇:起底中國5大O2O體系
下一篇:360與百度微博掐架
