大量中国铁路客服中心12306用户数据在互联网上被疯传贩售,泄露资料包括用户账号、明文密码、身份证、邮箱等敏感信息,目前尚不清楚这些数据是从何途径泄露的。据中国之声《新闻纵横》报道,“火速改密码!”这是昨天人们奔走相告的一句流行语。昨天,第三方漏洞报告平台乌云网曝出,用户购买火车票的数据遭到泄露,约有13万条用户的个人数据在互联网被疯传,包括用户帐号、明文密码、身份证信息等,但是泄露的途径未知。一时间人心惶惶,质疑声纷纷指向12306网站。
大众网综合消息:大量中国铁路客服中心12306用户数据在互联网上被疯传贩售,泄露资料包括用户账号、明文密码、身份证、邮箱等敏感信息,目前尚不清楚这些数据是从何途径泄露的。据中国之声《新闻纵横》报道,“火速改密码!”这是昨天人们奔走相告的一句流行语。昨天,第三方漏洞报告平台乌云网曝出,用户购买火车票的数据遭到泄露,约有13万条用户的个人数据在互联网被疯传,包括用户帐号、明文密码、身份证信息等,但是泄露的途径未知。一时间人心惶惶,质疑声纷纷指向12306网站。
对于这个爆炸性的消息,12306也作出了回应:称泄露用户信息的是第三方网站。随后被指责的第三方网站纷纷跳出来为自己洗白。作为唯一的官方平台,如此大规模的数据泄露,12306该不该负责?用户恐慌又如何消除?
25日上午10点59分,或许不少人刚刚从圣诞礼物的惊喜中缓过神儿来,12306却给了大家一个不小的惊吓。乌云平台发布报告称,大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等。有研究团队对此进行了紧急调查,随机抽取了约50个被泄露的账号,均成功登陆12306,证明了数据是准确的。平台的合伙人乌迪表示,他们很快通知了12306方面。
乌迪:我大概11点多的时候,平台上收到一个漏洞,比较多的12306网站的帐户和密码通过这个登录进去以后就能查到里面的订票信息。今天收到以后,也是第一时间把这个信息给到那个12306的官方上。
彼时,13万条12306用户的数据以文档的形式在部分论坛或其他网络平台迅速的传播,文件的标题为《12306邮箱-密码-姓名-身份证手机》,共计131653条记录,大小有14M。甚至有信息显示,还有18G的数据尚未流出,泄露规模可能进一步扩大。
猎豹移动安全专家李铁军建议大家及早修改密码,防止意外情况的发生。
李铁军:因为不改的话,就有可能他的数据泄露,被别人恶作剧登进去,然后把他已经订过的票给退了。除了这个以外,因为有很多人登录12306的密码和登录邮箱的密码是一样的,这就是用户使用的密码的这个习惯不好,这种情况,就是用户除了要去修改12306的密码,还要去修改他的邮箱密码。
信息被泄露究竟是谁的错成了当天下午的热点话题。作为购票的官方平台,12306无疑成了众矢之的。有网站立即展开调查问卷,半数以上的网友认为12306难逃干系。
下午,12306紧急作出回应称,经查,此次泄露的信息全部含有用户的明文密码,而12306网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。同时,他们还提醒旅客,为保障信息安全,不要使用第三方抢票软件购票或委托第三方网站购票。12306客服人员表示,如果用户不放心,可以自行修改密码。
12306客服人员:我们内部没有收到这个信息,您要是怀疑的话,您可以改一下密码,用您的邮箱或者查看您的个人信息,里面有一个编辑,编辑也可以改您的密码。
皮球被踢到第三方购票网站和软件商们的脚下,来看看他们都是怎么回应的:
携程表示,携程火车票的用户帐号、密码等相关数据是安全的,在传输和保存始终处于加密状态。
百度说,用户信息仅在安装客户端的电脑上,百度没有存储个人信息,不存在泄露情况。
360安全专家安扬也表示与己无关,他解释说,通过已经泄露的信息可以知道,其中大量的用户近期并没有使用抢票软件,且基本可以确定是黑客所为。
安扬:这次事件跟抢票软件都没有关系,而是黑客通过撞库的方式利用12306的漏洞来获取了这13万多条这个用户数据。
简单来说,撞库就是黑客通过网上已经泄露的用户信息,再在尝试用同样的用户名和密码去登录其他网站,卷入本次事件的许多用户或许都存在一套用户名和密码在多个网站使用的情况。
安扬还表示,传说中的18G的数据最终也没有在网络上现身,部分论坛里有人上传的18G的文件打开后其实是动画片,也就是说黑客是在虚张声势。
知道创宇安全研究团队也对此进行了紧急调查,他们随机联系了该批数据中的多个用户,均反馈说近期没有使用过抢票软件或没有购票行为,结论与360方面一致,基本可以确认这批数据全部是通过撞库攻击获得。虽然大家可以松一口气,但安扬等一些安全分析师认为,被黑客袭击表明,12306仍需继续完善。
安扬:如果说他的账号安全体系做得足够好,那黑客就是在攻击他的网站的时候,他就能够及时的发现并且阻断。他如果发现了这种异常的登录行为,应该就是屏蔽掉,但是说明12306的这个网站存在漏洞,所以才会被撞库。
公安机关昨天也已经介入调查此事,不少网友也围观坐等结果,当下,既然我们只有这一个网上购票渠道,那么12306也必然要扛起全部的重担,众目之下,仍任重道远。
6个子网站存漏洞
根据瑞星互联网攻防实验室研究,信息泄露可能有三条路径:一是12306网站自身出现问题;二是第三方抢票软件或插件出现信息漏洞;三是黑客用“撞库”的方式获取这部分用户信息。
“撞库”是指黑客采用此前其他平台泄露的用户信息,用自动化程序在12306大量登录实验,有相同账号和密码成功登录即可获取更多用户信息。
“国内互联网公司大多出现过信息泄露事件,发生 撞库 并不意外。”唐威表示,瑞星在对12306网站安全监测时发现,12306主网站下属包括南方货物快运服务站、东北货物快运服务站等6个子网站发现了Struts2漏洞,利用该漏洞入侵者可以获取子网站管理员权限,并可以通过恶意代码控制子网站服务器对主站进行跳板入侵获取信息。
唐威进一步表示,“可以肯定的是漏洞存在,控制子网服务器入侵主网站也是黑客惯用手段,理想状态下可以通过该漏洞取得用户信息,但是因权限不允许测试,瑞星也不能确定这是信息泄密的路径。”
2013年7月17日,乌云漏洞报告平台、SCANV网站安全中心等安全机构纷纷发出红色警报:Struts2再曝高危漏洞,该漏洞影响到Struts2.0-2.3.15版本,可直接导致服务器被远程控制,引起数据泄露。苹果、淘宝、京东、民生银行在内的多家公司及金融机构网站查出该漏洞。
彼时,国内网站安全服务商SCANV.COM确认,攻击者可以利用该漏洞,执行恶意Java代码,最终导致网站被完全入侵控制。
安全专家提示,12306网站数据泄露有可能出现衍生风险:邮箱被“撞库”,更多个人信息因此被盗,手机号、身份证号被泄露,甚至包含亲友信息。
据唐威介绍,泄露文件中大部分用户采用了QQ邮箱和163邮箱作为账号,如果购票明文密码与QQ一致,黑客同样可以采用“撞库”的方式登录QQ或者微信,容易造成更大损失,因此提醒12306用户尽快重设相关账户登录密码,保护信息安全。
12306网站公告
针对互联网上出现“12306网站用户信息在互联网上疯传”的报道,经我网站认真核查,此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。
我网站郑重提醒广大旅客,为保障广大用户的信息安全,请您通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止您的个人身份信息外泄。同时,我网站提醒广大旅客,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请广大旅客注意。
中国铁路客户服务中心
2014年12月25日