2306洩露400萬用戶的詳細數據,我們的數據真的安全?...
➯ 12306洩露密碼數據
在昨日,中國最大的購票網站中國鐵路12306,數據庫被黑客成功獲取,整整410萬用戶資料全部洩露,明文密碼,身份證,郵箱,甚至是密保問題 公之於眾。
這些數據被不法分子掛在某知名數據交易網站上進行兜售,整整410萬的用戶數據啊,僅售20美元。
且商家可以讓圍觀者隨機抽取測試,
記者測試均確實可以在12306上正常登錄,甚至可以用洩露的密保問題進行敏感操作。而這些信息目前僅限比特幣交易,且已經售出近百份。這些詳細的名字,電話,郵箱,密碼,身份證,甚至是目的地和出發地的詳細信息,僅需可憐的137塊錢人民幣就能獲取,我們重要的機密資料在此變的不值一提。
➯ 12306官方闢謠
隨後,這個事情在網絡上被傳得沸沸揚揚,甚至有人表示真的在裡面找到了自己的賬號,且密碼身份證等信息均屬實,令人頭皮發麻。
隨後中國鐵路官方微博表示闢謠:網傳信息不實,鐵路12306網站未發生用戶信息洩漏。
某安全網站知名白帽子表示,本次確實不是12306被黑導致,而是被第三方接口洩露,例如第三方的搶票軟件,隨後被黑客用撞庫等方法進行批量的密碼驗證所得到的。也有說是QQ郵箱接口洩露的,因為這裡面均是QQ郵箱註冊。
除此之外,由於用戶習慣,所以這些賬號不僅僅可以在12306上登錄,甚至可以在其他第三方網站進行登錄,因為大部分人的各網站登錄郵箱,密碼,安全問題都是設置一樣的。
➯ 並非第一次
這次12306的密碼大量洩露,並非是第一次,早在2014年12月份 漏洞報告平臺烏雲網出現了一則關於中國鐵路購票網站12306的漏洞報告。
在2014年開始,12306就陸續有賬號信息被曝出售,當初2014年已知公開傳播的數據庫涉及用戶數約14萬,已經有網友曬出了據說容量為18G的用戶信息,據圖片顯示,用戶名、密碼、身份證和手機號一應俱全。
雖然均不是12306官方洩露的,但是其第三方接口的安全性極差確實是12306需要負責,主要還是12306平臺為了節約成本等原因,使用相似的源代碼進行更改,以至於網站的數據管理模式落後、或存在缺陷。
長期的洩露也沒有讓12306對安全性進行維護,而是選擇 放任不管,直接甩鍋 確實讓人無法接受。整整四年,在一些非法網站上,陸續都有12306的用戶詳細資料出售,而這次的410萬,直接將12306的資料庫幾乎全部都洩露出來了。
最為可怕的是,黑客似乎非常輕易的就拿到了這些數據,認為非常容易得手,出價也是低的令人髮指。
洩露後,部分在12306上近日購買了票的用戶,經常收到廣告短信,這些商家知道這些人要去哪裡,甚至知道年齡多少,大概需要什麼東西,從而進行廣告營銷。
廣告營銷還是一方面,甚至有不法分子購買了這些數據後,進行其他網站的登錄測試,進行盜取資產等惡劣方案。更有甚者,拿身份證號等詳細信息去進行違法操作。
無論如何,使用了12306的用戶,務必儘快登錄進行修改密碼!!!
閱讀更多 XCiOS俱樂部 的文章
