大量12306用户数据泄露 12306用户信息到底从哪泄露
“网上泄露的(12306)用户信息系经其他网站或渠道流出。”
昨日中午,中国铁路唯一的官方售票网站12306发布上述消息,以回应不久前乌云漏洞报告平台发布的有关“12306用户资料大量泄露”的信息,并称公安机关已介入调查。乌云当天的一条官方微博也印证了这一说法,“数据疑似黑客‘撞库’后整理得到而并非12306直接泄露。”
信息泄露引发广泛关注,随后一些第三方抢票软件或网站均否认涉及此事。据昨日360公司的说法,网上公开传播的12306用户数据超过13万条。然而,更有业内人士担心,除了已经泄露身份证等信息,或有黑客借机盗取更多的个人信息。
身份证等个人信息泄露
昨日11时,乌云漏洞报告平台发布报告称,大量12306用户数据在互联网疯传。其中包括用户账号、明文密码、身份证、邮箱等。报告提及,漏洞危害等级已经为高级。但目前,这些信息泄露的途径尚不知晓。目前,这个漏洞报告已经交由国家互联网应急中心处理。
乌云称,“数据只是在传播售卖,目前无法确认是12306官方还是第三方抢票平台泄露。”
随后,12306网站发出回应信息。其在一份公告中称,经12306网站认真核查,此泄露信息全部含有用户的明文密码,“我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。”
数据泄露疑似遭遇黑客
在泄露的敏感数据中,乌云还验证了几个抽查的账号确实可以登录。
昨日14时15分,乌云漏洞报告平台通过官方微博称,“目前通过白帽子分析,数据疑似黑客‘撞库’后整理得到而并非12306直接泄露,请用户及时修改密码同时慎用抢票工具。”
对于12306用户信息泄露可能造成的风险,猎豹浏览器当天通过官方微博分析称,网站用户邮箱可能被“撞库”,即黑客以12306泄露的用户名密码去尝试登录邮箱,由此将导致更多的个人信息因此被盗。
同时,因用户手机号身份证号行程被泄露,骗子可能以退票为借口行骗。在12306用户的数据中,还可能包含其亲友信息。猎豹浏览器认为,受害者还面临遭遇恶作剧,预订的火车票被恶意退票。
12306:慎用抢票软件
12306网站还提醒旅客,“不要使用第三方抢票软件购票,或委托第三方网站购票,以防止您的个人身份信息外泄。”
360公司相关负责人昨日下午称,通过对网上公开传播的超过13万条12306用户数据进行调查分析,此事与360无任何关系。
猎豹浏览器官方微博也于当天宣布,“用户使用猎豹浏览器抢票时的入口是12306官方登录界面,猎豹浏览器现在不会、以后也不会上传或要求用户提交个人信息。”
有IT业内人士认为,第三方抢票浏览器、抢票软件为了让购票更迅捷,运行时可能省去了一些步骤。这些软件大多未经安全检测,安全性难以保障。但也有网友认为,正规的抢票浏览器、抢票软件绝不会自己砸自己的脚,“来源很容易就查得出来。那些正规的大公司绝不可能这样泄露用户信息。”
此前,12306网站已多次被曝出漏洞。例如,今年1月份,有网友爆料称,12306订票网站可以利用假护照、假身份证完成订票。今年7月15日,乌云又曝出12306购票软件存在漏洞,一人可购买一车厢票。