網(wǎng)絡流傳的泄露數(shù)據(jù)顯示用戶的郵箱�����、明文密碼、姓名��、身份證號等私人信息���。
12306網(wǎng)站回應“13萬用戶數(shù)據(jù)泄露”
信息系經(jīng)其他網(wǎng)站或渠道流出,包括用戶密碼���、身份證號、手機號等,警方已介入調(diào)查
昨天上午10點59分,有網(wǎng)友在“烏云-漏洞報告平臺”發(fā)表一篇帖子稱,大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)傳播售賣�����。根據(jù)該平臺披露的信息,目前已知公開傳播的數(shù)據(jù)涉及用戶數(shù)為131653條,尚不清楚是否有更多用戶數(shù)據(jù)被泄露��。12306網(wǎng)站昨日對此回應稱,網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出���。
泄露信息包括用戶的明文密碼���、身份證號碼、電子郵箱���、手機號碼等���。數(shù)據(jù)只是在傳播售賣,目前無法確認用戶信息是由12306官方還是第三方搶票平臺泄露��。
針對網(wǎng)上出現(xiàn)“12306網(wǎng)站用戶信息在互聯(lián)網(wǎng)上風傳”的消息,昨天12306網(wǎng)站回應稱,經(jīng)核查,此泄露信息全部含有用戶的明文密碼,12306網(wǎng)站數(shù)據(jù)庫所有用戶密碼均為多次加密的非明文轉(zhuǎn)換碼,網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出�����。12306稱已報警,警方已介入調(diào)查���。
12306網(wǎng)站公告還提醒乘客,通過12306官方網(wǎng)站購票,不要使用第三方搶票軟件購票,或委托第三方網(wǎng)站購票,以防止個人身份信息外泄。同時,還提醒稱,部分第三方網(wǎng)站開發(fā)的搶票神器中,有捆綁式銷售保險功能,請乘客注意��。
■ 追問
用戶數(shù)據(jù)如何被泄露?
專家稱可能密碼早已泄露,通過“撞庫攻擊”整理
有關專家分析認為,正常情況下,注重安全的網(wǎng)站都不會使用明文密碼��。因此,這次泄露的13萬個記錄,極有可能是黑客通過其他數(shù)據(jù)庫“撞庫”整理出來的���。
360安全專家安揚也認為,12306的用戶信息是被“撞庫”泄漏的,“撞庫”是指用黑客通過收集網(wǎng)絡上已泄露的用戶名及密碼信息,生成龐大的密碼庫,然后到12306等網(wǎng)站嘗試批量登錄,得到一批可以登錄的用戶賬號及密碼��。一些網(wǎng)絡安全公司昨天也發(fā)布聲明,并確認12306數(shù)據(jù)泄露事件為“撞庫攻擊”��。
誰是“泄密者”?
專家稱基本確認由黑客獲取,“12306網(wǎng)站賬號安全體系存缺陷”
12306在官方聲明中稱,網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出,并提醒用戶不要使用第三方搶票軟件購票��。
安揚表示,根據(jù)安全研究人員分析,發(fā)現(xiàn)幾乎所有13萬條賬號密碼與之前一些游戲網(wǎng)站“泄密門”傳出的賬號密碼完全匹配,基本可以確認該批數(shù)據(jù)是黑客通過撞庫獲得的。據(jù)悉這些信息可能在黑客之間“買賣”�����。12306網(wǎng)站被撞庫,說明其賬號安全體系存在缺陷,才會被黑客利用自動化程序嘗試登錄撞庫。
如何規(guī)避密碼泄露風險?
趕緊換密碼,不同網(wǎng)站用不同密碼并定期修改
能實現(xiàn)“撞庫攻擊”是因為很多用戶在不同網(wǎng)站使用的是相同的賬號密碼,因此黑客能通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)址��。
12306的信息泄露有可能衍生風險,如郵箱被“撞庫”(用12306的用戶名密碼去嘗試登錄郵箱),造成更多個人信息被盜;因手機號身份證號行程的泄露,遭遇電信欺詐等,甚至可能遭遇已訂火車票被惡意退票的情況���。
360安全專家安揚提醒12306用戶注意修改密碼��。如有其他重要賬號使用了相同的注冊郵箱和密碼,應一并修改��。
安揚稱,公安機關只要根據(jù)這十余萬條數(shù)據(jù)相關用戶進行調(diào)查,很快就能挖出泄露數(shù)據(jù)的源頭��。本次事件也再次為互聯(lián)網(wǎng)上的信息安全敲響了警鐘,安揚提醒用戶常用郵箱��、網(wǎng)上支付等重要賬號一定要單獨設置高強度密碼,并定期對密碼進行修改���。 新京報記者 林野 劉夏
■ 記者體驗
搶票軟件存在“默認購保險”情況
新京報訊 (記者左燕燕)昨日,12306官方網(wǎng)站回復用戶數(shù)據(jù)大量泄露時表示,“部分第三方網(wǎng)站開發(fā)的搶票神器中,有捆綁式銷售保險功能?�!庇浾甙l(fā)現(xiàn)在手機客戶端搶票軟件中,存在默認綁定支付20元意外險的情況���。
記者通過搜索引擎查詢“搶票軟件”,網(wǎng)友“評價較高”的搶票軟件中,如“360搶票王”��、“百度搶票軟件”��、“搜狐搶票軟件”等,均為免費的瀏覽器插件類搶票軟件��。
記者使用360瀏覽器,下載搶票小插件,點擊即可迅速完成安裝���。點擊“車票預訂”開始預訂車票,選擇出發(fā)地�����、目的地,以及出發(fā)日期和時間,點擊綠色按鈕“開始刷票”��。同時,瀏覽器插件類搶票軟件也可以在手機上使用�����。
顯示刷票成功后,都需要填寫12306官網(wǎng)上的個人賬戶和密碼,進入網(wǎng)站后進行支付��。應付金額與票面價格相同,沒有銷售保險的內(nèi)容��。
記者此后通過手機搶票軟件買票���。在安卓手機軟件中,搶票軟件類客戶端種類較多,通過百度手機助手查詢,顯示“火車票搶票”、“超級火車票”“火車票搶票軟件”等近30條客戶端信息��。
記者隨機下載一款名為“超級火車票”的手機搶票軟件客戶端,進入主界面,選擇1月1日“北京——保定”的火車票查詢,頁面顯示當日的車次信息,硬座票價為23.5元���。填寫完個人信息,點擊進入支付界面,應付金額則顯示為43.5元,比票面價格高了20元�����。
“支付金額怎么多了20元?”記者返回到預訂車票界面,在乘客信息下方,發(fā)現(xiàn)“購交通意外險20元”的默認選項�����。點擊進入內(nèi)界面,顯示“購交通意外險,20元報50萬,訂單急速處理,享受人工退票���、改簽服務?����!币部晒催x“不購保險”,提示“不提供人工退票��、改簽服務”��。
而同類手機搶票軟件客戶端,如“12306搶票助手”,同樣在支付信息里默認有“購交通意外險20元”的信息,且頁面廣告摻雜,甚至有低俗廣告信息���。
律師李瑞麗在接受媒體采訪時表示,“搶票軟件系統(tǒng)設置的‘取消購買’選項比較隱蔽,違反了《消費者權益保護法》��。消費者對所購買的產(chǎn)品具有知情權和自主選擇權,搶票軟件以這種模糊的選擇方式,搭售保險,涉嫌欺詐��?��!?nbsp;
使用這些網(wǎng)站的你有風險嗎?
多家第三方網(wǎng)站回應泄密
百度
百度衛(wèi)士搶票寶相關負責人表示,百度衛(wèi)士搶票寶本身就是一款安全軟件,用戶的關鍵數(shù)據(jù)都是保存在本地,也就是用戶的電腦中,并不具備云同步功能,因此并不會出現(xiàn)用戶12306賬號���、密碼、身份證號碼等敏感信息收集和泄露的問題�����。
攜程
此事與攜程沒有任何關系,攜程火車票的用戶賬號���、密碼等相關數(shù)據(jù)是安全的,在傳輸和保存始終處于加密狀態(tài),任何未經(jīng)授權的人員都無法取得這些資料�����。
360
關于12306信息泄露,360回應稱,360瀏覽器搶票軟件具有業(yè)界最嚴格的安全防護機制,從未發(fā)生數(shù)據(jù)泄露情況�����。通過對網(wǎng)上公開傳播的超13萬條12306用戶數(shù)據(jù)進行調(diào)查分析,此事與360沒有任何關系�����。公安機關能根據(jù)這些受害用戶信息進行調(diào)查,很快就能挖出泄露數(shù)據(jù)的源頭�����。
騰訊
騰訊手機管家安全專家提醒,用戶最好通過12306官方站點購買車票,同時建議廣大12306用戶務必盡快修改12306網(wǎng)站密碼,其他網(wǎng)站���、網(wǎng)銀、第三方支付軟件等利用與12306注冊郵箱�����、密碼一致的也應立即修改���。更需要提醒的是,這些數(shù)據(jù)有可能被犯罪分子用作精準詐騙,近期應謹防詐騙短信���、詐騙電話等。
搜狗
針對12306數(shù)據(jù)泄露,搜狗瀏覽器官方微博聲明稱:1�����、建議用戶盡快修改12306賬戶的密碼,以防范重要的個人信息被泄露,造成不必要的損失;2���、請及時查詢已購的車票是否被惡意退票,以保證返鄉(xiāng)行程的一路平安��。
(記者 劉夏 林其玲)
