文匯首頁 > 即時新聞 > 即時中國 > 正文
【打印】   【評論】   【推薦】  【關閉】  

12306否認洩密 專家建議修改密碼
http://news.wenweipo.com   [2014-12-27]    我要評論

【文匯網訊】據中國之聲《新聞縱橫》報道,連著幾天為搶票頭暈腦脹的「春運族」們都知道,今天是個大日子,因為大年初六的返程票要開售了。不過,為了進一步打擊利用他人身份信息囤票倒票的現象,鐵路12306再度發佈新政,從昨天起,如果旅客發現身份被冒用,可以隨時舉報。

新舉措該怎麼來理解?

正所謂「魔高一尺、道高一丈」。為了繼續打擊黃牛倒票囤票,鐵路部門再推新政,售票系統不再接受行程衝突的購票。於是連日裡爭相購買返程票的老百姓要搞清楚的第一個問題就是,什麼算「行程衝突」呢?12306客服解釋說,同一乘車人的乘車時間出現交叉,是不行的:

12306:打個比方,您買了一張今天早上8點發的車,下午2點到。您再想買一張今天上午9點發的車,就買不了了。同一趟車,從上車到下車這段時間內,您就不能再買別的車了。

也就是說,兩趟車的時間不能有交集。那麼,在列車中途下車,中轉到另一趟車的旅客,算不算違規呢?

12306:中轉那種不算「衝突」,是按您的車票票面時間,那時間上肯定不能衝突啊。比如您從北京到天津,再從天津中轉去滄州。從北京到天津的點,是中午12點,您買天津到滄州不能買11點的對吧?

一人一張身份證,同一個身份證不可能同時出現在兩輛車上。很顯然,這是為了打擊身份冒用,打擊囤票倒票。如果行程衝突,必須要先把前面的票退了或改簽,再重現買票。如果發現身份信息被冒用,必須要先舉報才能繼續購票。那麼,怎樣才能發現有沒有被冒用呢?

12306:您要是自己沒買過,然後一直提示「衝突」,那就是被冒用信息了。自己買過就別舉報了,舉報把您自己舉報了。

記者:為什麼不能直接封了它必須要舉報?

12306:現在好多個賬號給一個人買票的情況還是很多的,您看您這賬號買了一張,您朋友也給您買了一張,我們不能直接把他給封了對吧。舉報了我們再去調查。

我們再來比較一下,新的措施和之前的不同。此前,根據實名制網上購票規定,一張身份證在同一天、同一個車次只能買一張票,但在同一天買不同車次的票,是可以的。對此12306曾經表示,這種「囤票」不違規。而現在,時間衝突的票是買不了的,可以看出,新規是對此前政策的一次矯正。矯正過後是不是就沒有問題了呢?對此,乘客高先生也表達了他的困擾。

乘客高先生:對我來說肯定沒有之前方便,原來想的是有一張保底了,再搶一張黃金時間的肯定會更好一些,這樣的話比我買到不是特別滿意的票之後,原來我還有辦法調整,比如說我老家在南京,我回老家的時候有時候就會買不到回南京的票,我就提前買一張去上海的票,但我用時會不斷的嘗試買一張回南京的票,因為那樣的話不會浪費很多的錢,但是如果現在有這個所謂衝突機製出來的話,我買了去上海的票,在同一時段,在當天可能我就沒法再買一張去南京的票了,就會浪費一些錢吧,對我來說就造成一些不方便。

新政昨天發佈,這個時間點很容易讓人聯想到最近炒的沸沸揚揚的「13萬用戶信息洩露」的新聞。根據鐵路公安部門發佈的最新消息,已經於前天晚上將涉嫌竊取並洩露他人電子信息的犯罪嫌疑人蔣某某、施某某抓獲。兩人通過收集互聯網某遊戲網站以及其他多個網站洩露的用戶名加密碼信息,嘗試登陸其他網站進行「撞庫」,非法獲取用戶的其他信息,並謀取非法利益。

這裡說的「撞庫」,就是拿別的地方洩露的用戶信息,去試,看看能不能登陸到12306上。不過這件發生在聖誕節當天的信息洩露案似乎並沒有結束。360公司昨天告訴中國之聲,12306手機APP確存在安全隱患。

從上午11點發現信息洩露,到晚上抓到兩名犯罪嫌疑人,只用了不到一天。根據鐵路公安機關發佈的最新消息,事件基本可以還原為,先收集其他網站洩露出的用戶名和密碼,再通過撞庫,嘗試能否進入12306。這個事實可以得出兩個結論:第一,用戶信息並不是12306直接洩露的;第二,受害者大多是僅靠一套用戶名和密碼「走天下」。

事件並沒有就此結束。360補天漏洞平台經過進一步檢測發現,12306手機APP存在漏洞,才可能導致自動化撞庫得以實現。

360安全專家趙武:為什麼黑客能撞庫成功?就在於它沒有針對這個撞庫行為進行一個攔截和識別。就是它沒有做驗證碼或二次驗證,只要你用戶名和密碼對了,它就可以登錄成功。

按這個邏輯,有驗證環節,就只能手工輸入甚至被攔截;沒有驗證,就可以批量掃庫,進而導致高達13萬用戶數據被瘋狂轉載的狀況:

趙武:就比如說我要是有個驗證碼,或者短信確認,那黑客就沒有辦法自動化確認了,他就只能一個一個去試,成本高收益也很低。但如果用自動化工具跑1000萬,我可能一天就跑完了。

目前,360已經將漏洞通報12306,案件也正在審理中。網友們在焦急搶票的同時,也在圍觀坐等結果。不過,既然我們只有這一個網上購票渠道,希望它能最大程度地,保證安全。

針對此次洩露事件,安全專家建議用戶可採取以下措施避免安全隱患:首先,迅速修改12306網站登錄密碼;由於新密碼同步到所有服務器需要時間,部分用戶修改密碼後,或不能立刻登錄;另外,及時修改12306網站註冊郵箱密碼,郵箱密碼與12306網站登錄密碼盡量不要一樣。

同時,註冊過12306的用戶還要注意,洩露的用戶信息以及親友信息很有可能被不法分子利用,用戶會在未來可能收到不少詐騙電話。建議用戶在處理與銀行轉賬匯款業務時務必要電話確認身份,謹防電信詐騙;訂票的時候,切勿使用離線搶票功能。因為離線搶票就是第三方服務托管服務,必須明文存密碼,且沒法加密,所以一旦洩露就是明文密碼。

另外,12306網站信息洩露被曝光後,網上出現許多12306網站信息洩露查詢頁面,製作署名為鐵道網或鐵道論壇。經證實,12306沒有發佈過類似網站頁面,也並未發佈洩密查詢。安全專家也提醒,非官方查詢頁面可能會非法捕捉用戶信息,甚至可能加載木馬,入侵個人電腦和手機終端,更容易造成個人信息洩露。

      責任編輯:魏紫
竊取12306用戶信息犯罪嫌疑人被抓獲      [2014-12-26]
12306發佈公告:今日起不再接受行程衝突購票      [2014-12-26]
12306網站回應用戶數據洩露:別人的錯      [2014-12-26]
12306回應信息洩露:經其他網站流出      [2014-12-25]
網曝12306用戶數據遭洩露      [2014-12-25]
解密12306春運大數據:單天PV297億      [2014-12-21]
律師狀告原鐵道部招標不透明被駁回      [2014-11-21]
國慶首日車票開售 旅客一票難求      [2014-09-12]
12306出新規 外國人購票遇麻煩      [2014-03-17]
網購火車票3月起將進行身份驗證      [2014-02-23]