2306泄露400万用户的详细数据,我们的数据真的安全?...
➯ 12306泄露密码数据
在昨日,中国最大的购票网站中国铁路12306,数据库被黑客成功获取,整整410万用户资料全部泄露,明文密码,身份证,邮箱,甚至是密保问题 公之于众。
这些数据被不法分子挂在某知名数据交易网站上进行兜售,整整410万的用户数据啊,仅售20美元。
且商家可以让围观者随机抽取测试,
记者测试均确实可以在12306上正常登录,甚至可以用泄露的密保问题进行敏感操作。而这些信息目前仅限比特币交易,且已经售出近百份。这些详细的名字,电话,邮箱,密码,身份证,甚至是目的地和出发地的详细信息,仅需可怜的137块钱人民币就能获取,我们重要的机密资料在此变的不值一提。
➯ 12306官方辟谣
随后,这个事情在网络上被传得沸沸扬扬,甚至有人表示真的在里面找到了自己的账号,且密码身份证等信息均属实,令人头皮发麻。
随后中国铁路官方微博表示辟谣:网传信息不实,铁路12306网站未发生用户信息泄漏。
某安全网站知名白帽子表示,本次确实不是12306被黑导致,而是被第三方接口泄露,例如第三方的抢票软件,随后被黑客用撞库等方法进行批量的密码验证所得到的。也有说是QQ邮箱接口泄露的,因为这里面均是QQ邮箱注册。
除此之外,由于用户习惯,所以这些账号不仅仅可以在12306上登录,甚至可以在其他第三方网站进行登录,因为大部分人的各网站登录邮箱,密码,安全问题都是设置一样的。
➯ 并非第一次
这次12306的密码大量泄露,并非是第一次,早在2014年12月份 漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告。
在2014年开始,12306就陆续有账号信息被曝出售,当初2014年已知公开传播的数据库涉及用户数约14万,已经有网友晒出了据说容量为18G的用户信息,据图片显示,用户名、密码、身份证和手机号一应俱全。
虽然均不是12306官方泄露的,但是其第三方接口的安全性极差确实是12306需要负责,主要还是12306平台为了节约成本等原因,使用相似的源代码进行更改,以至于网站的数据管理模式落后、或存在缺陷。
长期的泄露也没有让12306对安全性进行维护,而是选择 放任不管,直接甩锅 确实让人无法接受。整整四年,在一些非法网站上,陆续都有12306的用户详细资料出售,而这次的410万,直接将12306的资料库几乎全部都泄露出来了。
最为可怕的是,黑客似乎非常轻易的就拿到了这些数据,认为非常容易得手,出价也是低的令人发指。
泄露后,部分在12306上近日购买了票的用户,经常收到广告短信,这些商家知道这些人要去哪里,甚至知道年龄多少,大概需要什么东西,从而进行广告营销。
广告营销还是一方面,甚至有不法分子购买了这些数据后,进行其他网站的登录测试,进行盗取资产等恶劣方案。更有甚者,拿身份证号等详细信息去进行违法操作。
无论如何,使用了12306的用户,务必尽快登录进行修改密码!!!
閱讀更多 XCiOS俱樂部 的文章
