12月25日,国内漏洞报告平台乌云官网爆出,大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等信息。
关于此次12306用户数据泄露事件,国内某安全研究团队方面验证了该消息的准确性,并获取到了该文中提到的样本数据,文件标题为《12306 邮箱-密码-姓名-身份证-手机(售后群:31109xxxx).txt》,共计131653条记录、文件大小14M。随机抽取了一批帐号(约50个)均成功登陆12306,证明了该批数据是准确的,对于里面出现的明文用户密码,该团队初步推测是利用现有用户数据进行“撞库”。
针对用户信息泄露一事,12306官方网站随后发布公告称,经过调查,此次泄露信息全部含有用户的明文密码,并称12306网站数据库所有用户密码均为多次加密的非明文转换码,同时暗示用户的明文密码为第三方抢票软件泄漏。
此前,12306已多次被曝出漏洞。早在今年1月份,有网友爆料称,12306订票网站可以利用假护照、假身份证完成订票。之后利用12306漏洞购票选上下铺的攻略在网上转发。今年7月15日,乌云又曝出12306购票软件存在漏洞,一人可购买一车厢票。
除了12306网站自身漏洞,近年来大量出现的第三方抢票平台也成为用户数据泄露的可能途径。专家介绍,第三方平台为了让购票更迅捷,运行时可能省去了一些步骤。而这些软件大多未经安全检测,安全性难以保障,用户应尽量使用官网购票,避免使用第三方购票途径。
目前,公安机关已经介入调查。
微评:我觉得,12306网站的用户数据泄露,有可能是12306自身网站漏洞引来拖库,导致用户帐号、身份证、邮箱等信息泄漏,然后别人利用帐号邮箱对比CSDN、天涯进行撞库,得出明文密码。抢票软件泄漏用户数据的可能性较小,因为抢票软件通常不会保存用户身份证等信息。
作者:月光
