昨天,第三方漏洞发布平台乌云网称,大量12306用户数据在互联网疯传,包括账号、明文密码、身份证号、邮箱等个人信息。对此,12306铁路客户服务中心官网发布了《关于提醒广大旅客使用12306官方网站购票的公告》,称网上泄露的信息系经其它网站或渠道流出,公安机关已介入调查。
用户信息遭传播售卖
昨天,第三方漏洞报告平台乌云网发布消息称,接到网友的截图爆料,十余万户的12306用户信息遭泄露。乌云社区初步调查发现,似乎是通过“撞库”得到的数据,但被人提取并整理了12306平台上的用户个人信息。所谓“撞库”,是指黑客通过收集网络上已泄露的用户名及密码信息,生成对应的“字典表”,到其他网站尝试批量登录,得到一批可以登录的用户账号及密码。
乌云网核实发现,12306网站出现用户数据泄露漏洞,大量12306用户数据在互联网(论坛、网盘等途径)遭疯传,包括用户账号、明文密码、身份证、手机、邮箱等。据介绍,用户数据只是在传播售卖,目前数据泄漏途径未知,仍无法确认是12306官方还是第三方抢票平台泄漏,希望官方立即介入调查并且通知已泄密用户修改密码。漏洞已提交至国家互联网应急中心处理,相关部门尚未对此回应。此外,近年来大量出现的第三方抢票平台也成为用户数据泄露的可能途径。为了让购票更迅速,运行时可能省去了一些步骤。这些软件多数未经过安全检测,不排除泄露用户个人信息的可能。
据雷锋网称,本次泄露数据有多种说法,比如黑客“撞库”得到相关信息、第三方抢票软件泄露、12306许久前曾遭受攻击。目前网络上广泛流传的是14MB用户数据,该样本数据的文件标题为《12306邮箱-密码-姓名-身份证-手机(售后群:31109xxxx).txt》,共计131653条记录。网络安全公司知道创宇研究部总监表示,经过仔细分析,这些用户数据是真实的,基本确认为黑客通过“撞库攻击”所获得。有网友下载到相关数据表示,里面有用户个人ID信息,也有人针对泄露信息打电话询问,当事人称最近并未购买过火车票。除了14MB之外,网络上还流传18GB、37GB两种说法,但这两种说法尚未有佐证信息。
勿使用第三方抢票软件
12306铁路客户服务中心官网的《公告》中说,针对互联网上出现 “12306网站用户信息在互联网上疯传”的报道,经12306网站认真核查,此泄露信息全部含有用户的明文密码。 12306网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。
12306网站郑重提醒旅客,为保障用户的信息安全,请通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止个人身份信息外泄。
同时,12306网站提醒旅客,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请旅客注意。
存在三种“漏洞”可能
记者咨询了青岛IT专家邴刚,他分析可能有三种原因,第一种是黑客利用漏洞信息恶意攻击,这是12306网站本身的系统漏洞导致的数据库资料泄露,黑客利用漏洞入侵了12306网站的服务器,可以远程拷贝和下载服务器里的数据,得到里面的用户数据信息。第二种可能是这种漏洞是第三方软件导致的,现在很多抢票软件都是利用服务器的特性批量提交和获取数据,在这个过程中可能无意之间触发了一种机制,该机制可以获取敏感数据。也就是说,第三方软件在提交了一个数据之后,可以实现“撞库”,这也是由于12306网站本身的系统不完善导致的,正常情况下,用户在提交数据后,12306网站不应该反馈出敏感信息。比如,用户提交一个采购请求,如果故意提供错的身份证信息,12306本身要比对数据库中该用户的身份信息是否一致,在比对过程中系统要先反馈一个数据过来,用户可能直接抓取了反馈过来的数据包,解密后从中抓取了真实的身份信息,归根到底是因为网站代码写得不完善所致。
此外还有第三种可能,黑客从别的网站数据库获得了大量的用户身份信息,然后把这些身份信息用在了12306网站上发现可以正常登录。抢票软件本身有个功能就是批量地提交请求,12306的验证码直接被抢票软件识别,黑客利用抢票软件批量地提交数据登录请求,登录成功的用户数据可以被筛选出来,然后再获得用户的详细个人信息,这些都是在网络软件的帮助下完成的。判断是不是第三种情况可以看泄露数据的数量,如果是部分用户数据泄露应该属于第三种原因,如果是大部分或者全部用户泄露则是前两种原因。获得数据后,如果黑客拿着这些个人信息再去登录“支付宝”等有关的数据平台,就会造成较大危害。
黑客盗走支付宝内32万
今年4月底,一名男子到苏州市公安局娄葑派出所报案说,在查看自己的支付宝账户时,发现里面的32万元存款不见了,而且手机没有收到任何支付宝发来的信息。办案民警查证发现,这个支付宝从4月13日到4月23日,分230笔向69个支付宝账户进行了转账,每笔金额都没超过2000元。而报案人因为平时资金流动频繁,关闭了2000元以下的短信校验服务功能。这说明,嫌疑人成功登录了报案人的支付宝账户,并发现了这个设置。
嫌疑人何某某落网后交代,他在网上以2元钱一个的价格,购买了上百个有效的支付宝账号和密码,进入到这些支付宝账号里,一个个去试,最终在这个账户上发现了很多钱。支付宝公司回应称,受害人应该是遇到“撞库”和“扫号”了。黑客用技术手段入侵一些安全防范不高的中小网站,取得大量的用户注册名和密码数据,然后再把这些信息跟网络银行、支付宝、淘宝等有价值的网站进行匹配登录,这就是“撞库”。实际操作中,黑客往往是通过专门的“扫号”软件,批量验证账号密码是否有价值。警方提醒,平时上网至少要设定两套用户名和密码,把涉及钱财的账户名密码和一般生活用的账户名密码分开,提高账户的安全等级。
新闻链接
非法获取信息可判刑
针对个人信息泄露事件,2009年最高院发布《最高人民法院、最高人民检察院关于执行〈中华人民共和国刑法〉确定罪名的补充规定(四)》,该司法解释在2009年10月16日起施行。司法解释中新确立了13个罪名,其中包括非法获取公民个人信息罪。这是指以窃取或者其他方法非法获取国家机关或者金融、电信、交通、教育、医疗等单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的行为。根据刑法规定,该罪可处三年以下有期徒刑或者拘役,并处或者单处罚金。
专家支招防止个人信息泄露
■立刻修改12306登录密码,但由于新密码同步到所有服务器需要时间,部分用户修改密码后,或许不能立刻登录;
■尽快修改登录12306时使用的邮箱密码,邮箱服务和12306网站服务一定不要使用相同的登录密码;
■由于12306数据泄露的内容还包含手机号、身份证号,除了自己的信息之外,还会泄露亲友的身份信息,因此建议受信息泄露影响的所有人小心处理可能的诈骗电话和短信。
■同时,与银行转账汇款有关的业务,务必电话确认身份。
■用户的常用邮箱、网上支付等重要账号一定要单独设置高强度密码,并定期对密码进行修改。
新闻内存
12306多次被曝漏洞
●去年12月,开售春运车票首日,12306网站被曝因大规模串号问题泄露用户信息,众多网友表示看到了他人的姓名和身份证号码,其中身份证、手机号与个人姓名等信息都严重泄露,很容易遭不法分子利用。
●去年12月,乌云网再曝出12306网站某接口由于权限及CDN缓存导致可以获取用户信息,该漏洞的危险等级为高级。
●今年1月,有网友爆料称,在12306网站订票可以用假名字、假身份证、假护照完成订票。有人用“庆丰包子铺”、“西门吹雪”作为车票上的人名,在12306网站订票后,取票乘车,竟然顺利从福州站到福州南站往返,中间还进行了改签和退票。不久,利用12306漏洞购票选上下铺的攻略在网上转发。
●今年7月,乌云网曝出12306购票软件存在漏洞,一人可购买一车厢的票。(青岛晚报/掌上青岛/青网 记者 张译心)