有网友在“乌云-漏洞报告平台”发表一篇帖子称,大量12306用户数据在互联网传播售卖。根据该平台披露的信息,目前已知公开传播的数据涉及用户数为131653条,尚不清楚是否有更多用户数据被泄露。12306网站昨日对此回应称,网上泄露的用户信息系经其他网站或渠道流出。
泄露信息包括用户的明文密码、身份证号码、电子邮箱、手机号码等。数据只是在传播售卖,目前无法确认用户信息是由12306官方还是第三方抢票平台泄露。
针对网上出现“12306网站用户信息在互联网上风传”的消息,昨天12306网站回应称,经核查,此泄露信息全部含有用户的明文密码,12306网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。12306称已报警,警方已介入调查。
有关专家分析认为,正常情况下,注重安全的网站都不会使用明文密码。因此,这次泄露的13万个记录,极有可能是黑客通过其他数据库“撞库”整理出来的。
360安全专家安扬也认为,12306的用户信息是被“撞库”泄漏的,“撞库”是指用黑客通过收集网络上已泄露的用户名及密码信息,生成庞大的密码库,然后到12306等网站尝试批量登录,得到一批可以登录的用户账号及密码。一些网络安全公司昨天也发布声明,并确认12306数据泄露事件为“撞库攻击”。
能实现“撞库攻击”是因为很多用户在不同网站使用的是相同的账号密码,因此黑客能通过获取用户在A网站的账户从而尝试登录B网址。
12306的信息泄露有可能衍生风险,如邮箱被“撞库”(用12306的用户名密码去尝试登录邮箱),造成更多个人信息被盗;因手机号身份证号行程的泄露,遭遇电信欺诈等,甚至可能遭遇已订火车票被恶意退票的情况。
360安全专家安扬提醒12306用户注意修改密码。如有其他重要账号使用了相同的注册邮箱和密码,应一并修改。
记者使用360浏览器,下载抢票小插件,点击即可迅速完成安装。点击“车票预订”开始预订车票,选择出发地、目的地,以及出发日期和时间,点击绿色按钮“开始刷票”。同时,浏览器插件类抢票软件也可以在手机上使用。
显示刷票成功后,都需要填写12306官网上的个人账户和密码,进入网站后进行支付。应付金额与票面价格相同,没有销售保险的内容。
多家第三方网站回应泄密
百度
百度卫士抢票宝相关负责人表示,百度卫士抢票宝本身就是一款安全软件,用户的关键数据都是保存在本地,也就是用户的电脑中,并不具备云同步功能,因此并不会出现用户12306账号、密码、身份证号码等敏感信息收集和泄露的问题。
携程
此事与携程没有任何关系,携程火车票的用户账号、密码等相关数据是安全的,在传输和保存始终处于加密状态,任何未经授权的人员都无法取得这些资料。
360
关于12306信息泄露,360回应称,360浏览器抢票软件具有业界最严格的安全防护机制,从未发生数据泄露情况。通过对网上公开传播的超13万条12306用户数据进行调查分析,此事与360没有任何关系。公安机关能根据这些受害用户信息进行调查,很快就能挖出泄露数据的源头。
腾讯
腾讯手机管家安全专家提醒,用户最好通过12306官方站点购买车票,同时建议广大12306用户务必尽快修改12306网站密码,其他网站、网银、第三方支付软件等利用与12306注册邮箱、密码一致的也应立即修改。更需要提醒的是,这些数据有可能被犯罪分子用作精准诈骗,近期应谨防诈骗短信、诈骗电话等。
搜狗
针对12306数据泄露,搜狗浏览器官方微博声明称:1、建议用户尽快修改12306账户的密码,以防范重要的个人信息被泄露,造成不必要的损失;2、请及时查询已购的车票是否被恶意退票,以保证返乡行程的一路平安。
据相关人员透露:“抢票软件系统设置的‘取消购买’选项比较隐蔽,违反了《消费者权益保护法》。消费者对所购买的产品具有知情权和自主选择权,抢票软件以这种模糊的选择方式,搭售保险,涉嫌欺诈。”
本文由游金地小编整理。
免责声明:本文仅代表作者个人观点,与游金地无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
