文匯首頁 > 即時新聞 > 即時中國 > 正文
【打印】   【評論】   【推薦】  【關閉】  

12306網站回應用戶數據洩露:別人的錯


http://news.wenweipo.com   [2014-12-26]    我要評論
放大圖片

網絡流傳的洩露數據顯示用戶的郵箱、明文密碼、姓名、身份證號等私人信息。

【文匯網訊】25日上午10點59分,有網友在「烏雲-漏洞報告平台」發表一篇帖子稱,大量12306用戶數據在互聯網傳播售賣。根據該平台披露的信息,目前已知公開傳播的數據涉及用戶數為131653條,尚不清楚是否有更多用戶數據被洩露。12306網站昨日(25日)對此回應稱,網上洩露的用戶信息系經其他網站或渠道流出。

據新京報報道,洩露信息包括用戶的明文密碼、身份證號碼、電子郵箱、手機號碼等。數據只是在傳播售賣,目前無法確認用戶信息是由12306官方還是第三方搶票平台洩露。

針對網上出現「12306網站用戶信息在互聯網上風傳」的消息,昨天12306網站回應稱,經核查,此洩露信息全部含有用戶的明文密碼,12306網站數據庫所有用戶密碼均為多次加密的非明文轉換碼,網上洩露的用戶信息系經其他網站或渠道流出。12306稱已報警,警方已介入調查。

12306網站公告還提醒乘客,通過12306官方網站購票,不要使用第三方搶票軟件購票,或委託第三方網站購票,以防止個人身份信息外洩。同時,還提醒稱,部分第三方網站開發的搶票神器中,有捆綁式銷售保險功能,請乘客注意。

■ 追問

用戶數據如何被洩露?

專家稱可能密碼早已洩露,通過「撞庫攻擊」整理

有關專家分析認為,正常情況下,注重安全的網站都不會使用明文密碼。因此,這次洩露的13萬個記錄,極有可能是黑客通過其他數據庫「撞庫」整理出來的。

360安全專家安揚也認為,12306的用戶信息是被「撞庫」洩漏的,「撞庫」是指用黑客通過收集網絡上已洩露的用戶名及密碼信息,生成龐大的密碼庫,然後到12306等網站嘗試批量登錄,得到一批可以登錄的用戶賬號及密碼。一些網絡安全公司昨天也發佈聲明,並確認12306數據洩露事件為「撞庫攻擊」。

誰是「洩密者」?

專家稱基本確認由黑客獲取,「12306網站賬號安全體系存缺陷」

12306在官方聲明中稱,網上洩露的用戶信息系經其他網站或渠道流出,並提醒用戶不要使用第三方搶票軟件購票。

安揚表示,根據安全研究人員分析,發現幾乎所有13萬條賬號密碼與之前一些遊戲網站「洩密門」傳出的賬號密碼完全匹配,基本可以確認該批數據是黑客通過撞庫獲得的。據悉這些信息可能在黑客之間「買賣」。12306網站被撞庫,說明其賬號安全體系存在缺陷,才會被黑客利用自動化程序嘗試登錄撞庫。

如何規避密碼洩露風險?

趕緊換密碼,不同網站用不同密碼並定期修改

能實現「撞庫攻擊」是因為很多用戶在不同網站使用的是相同的賬號密碼,因此黑客能通過獲取用戶在A網站的賬戶從而嘗試登錄B網址。

12306的信息洩露有可能衍生風險,如郵箱被「撞庫」(用12306的用戶名密碼去嘗試登錄郵箱),造成更多個人信息被盜;因手機號身份證號行程的洩露,遭遇電信欺詐等,甚至可能遭遇已訂火車票被惡意退票的情況。

360安全專家安揚提醒12306用戶注意修改密碼。如有其他重要賬號使用了相同的註冊郵箱和密碼,應一併修改。

安揚稱,公安機關只要根據這十餘萬條數據相關用戶進行調查,很快就能挖出洩露數據的源頭。本次事件也再次為互聯網上的信息安全敲響了警鐘,安揚提醒用戶常用郵箱、網上支付等重要賬號一定要單獨設置高強度密碼,並定期對密碼進行修改。 新京報記者 林野 劉夏

■ 記者體驗

搶票軟件存在「默認購保險」情況

昨日,12306官方網站回復用戶數據大量洩露時表示,「部分第三方網站開發的搶票神器中,有捆綁式銷售保險功能。」記者發現在手機客戶端搶票軟件中,存在默認綁定支付20元意外險的情況。

記者通過搜索引擎查詢「搶票軟件」,網友「評價較高」的搶票軟件中,如「360搶票王」、「百度搶票軟件」、「搜狐搶票軟件」等,均為免費的瀏覽器插件類搶票軟件。

記者使用360瀏覽器,下載搶票小插件,點擊即可迅速完成安裝。點擊「車票預訂」開始預訂車票,選擇出發地、目的地,以及出發日期和時間,點擊綠色按鈕「開始刷票」。同時,瀏覽器插件類搶票軟件也可以在手機上使用。

顯示刷票成功後,都需要填寫12306官網上的個人賬戶和密碼,進入網站後進行支付。應付金額與票面價格相同,沒有銷售保險的內容。

記者此後通過手機搶票軟件買票。在安卓手機軟件中,搶票軟件類客戶端種類較多,通過百度手機助手查詢,顯示「火車票搶票」、「超級火車票」「火車票搶票軟件」等近30條客戶端信息。

記者隨機下載一款名為「超級火車票」的手機搶票軟件客戶端,進入主界面,選擇1月1日「北京——保定」的火車票查詢,頁面顯示當日的車次信息,硬座票價為23.5元。填寫完個人信息,點擊進入支付界面,應付金額則顯示為43.5元,比票面價格高了20元。

「支付金額怎麼多了20元?」記者返回到預訂車票界面,在乘客信息下方,發現「購交通意外險20元」的默認選項。點擊進入內界面,顯示「購交通意外險,20元報50萬,訂單急速處理,享受人工退票、改簽服務。」也可勾選「不購保險」,提示「不提供人工退票、改簽服務」。

而同類手機搶票軟件客戶端,如「12306搶票助手」,同樣在支付信息裡默認有「購交通意外險20元」的信息,且頁面廣告摻雜,甚至有低俗廣告信息。

律師李瑞麗在接受媒體採訪時表示,「搶票軟件系統設置的『取消購買』選項比較隱蔽,違反了《消費者權益保護法》。消費者對所購買的產品具有知情權和自主選擇權,搶票軟件以這種模糊的選擇方式,搭售保險,涉嫌欺詐。」

使用這些網站的你有風險嗎?

多家第三方網站回應洩密

百度

百度衛士搶票寶相關負責人表示,百度衛士搶票寶本身就是一款安全軟件,用戶的關鍵數據都是保存在本地,也就是用戶的電腦中,並不具備雲同步功能,因此並不會出現用戶12306賬號、密碼、身份證號碼等敏感信息收集和洩露的問題。

攜程

此事與攜程沒有任何關係,攜程火車票的用戶賬號、密碼等相關數據是安全的,在傳輸和保存始終處於加密狀態,任何未經授權的人員都無法取得這些資料。

360

關於12306信息洩露,360回應稱,360瀏覽器搶票軟件具有業界最嚴格的安全防護機制,從未發生數據洩露情況。通過對網上公開傳播的超13萬條12306用戶數據進行調查分析,此事與360沒有任何關係。公安機關能根據這些受害用戶信息進行調查,很快就能挖出洩露數據的源頭。

騰訊

騰訊手機管家安全專家提醒,用戶最好通過12306官方站點購買車票,同時建議廣大12306用戶務必盡快修改12306網站密碼,其他網站、網銀、第三方支付軟件等利用與12306註冊郵箱、密碼一致的也應立即修改。更需要提醒的是,這些數據有可能被犯罪分子用作精準詐騙,近期應謹防詐騙短信、詐騙電話等。

搜狗

針對12306數據洩露,搜狗瀏覽器官方微博聲明稱:1、建議用戶盡快修改12306賬戶的密碼,以防範重要的個人信息被洩露,造成不必要的損失;2、請及時查詢已購的車票是否被惡意退票,以保證返鄉行程的一路平安。

      責任編輯:紫荊
網曝12306用戶數據遭洩露      [2014-12-25]
魯煒訪蘋果公司:確保中國用戶隱私      [2014-12-08]
馬雲馬化騰明爭暗鬥 用戶選擇成幌子      [2014-12-03]
病毒襲擊 iOS淪陷!數十萬中國用戶遇險      [2014-11-07]
海鷗登陸廣西 防城港70%用戶斷電      [2014-09-17]
雅虎稱美政府以罰款要挾交用戶數據      [2014-09-13]
500萬Gmail用戶賬號密碼遭洩      [2014-09-11]
全球最危險用戶密碼排名出爐      [2014-09-02]
MSN將告別中國 用戶收到通知郵件      [2014-08-29]
蘋果宣佈將加密存儲用戶數據      [2014-08-16]