人肉调查:12306泄密?一场被高估的恐慌

2014年12月26日00:31   新浪科技 微博    收藏本文     
1
1

  文/新浪科技调查组

  坏事传千里。

  昨日突然爆出12306泄密事件:一份私下流传的文件中,包含13万用户的账号、明文密码、身份证、邮箱、手机号等敏感信息。一时之间,人心惶惶。

  12306随后在回应中表示:泄露的用户信息系经其他网站渠道流出;也即否认与这次泄密有关。这是真的么?如果不是12306又该怪谁呢?

  所以新浪科技决定,展开一次人肉调查:

  从昨天下午开始,新浪科技根据泄密信息,随机抽查访问了80位有效用户,一一打电话过去询问、核实相关情况,并提示对方及时修改12306密码。

  首先,我们要确认对方是不是12306的注册用户,有没有使用第三方购票服务。

  结果显示在我们调查的80位用户中,只有11位用户确认使用过第三方软件进行过火车票预订,而绝大部分人使用的还是12306的官方网站或客户端订票。进一步,大约90%的受访用户表示,最近并没有登录过12306网站,也没有使用过第三方的抢票软件。

  从这个抽样数据来看,很难得出第三方抢票软件泄密的结论。那么是12306自己的泄密?我们的调查同样也不支持得到这个结论。

  不可否认,受访用户的手机号码和姓名都是一一对应的,这份泄密文件的真实度非常高。然而在我们的调查中,有用户向新浪科技表示,名单泄露的密码并不是自己最新的密码。一位用户明确告诉新浪科技,至少1个月前已修改过密码。还有5位用户的手机号码已经成为空号。

  这些信息显示,此次的外泄的用户信息,肯定不是最新的。

  还有一位用户的情况更值得注意。这位用户的相关信息就在此次12306泄密的文件中,据其回忆从未使用过第三方购票软件,而且他提供了一个重要的信息:此前“开房门”数据泄密事件时,自己的用户名和密码就曾暴露过,而12306的账户是那次事件后,他唯一没有修改密码的账户。

  基于上述统计信息,我们产生了一个猜想:有黑客拿到之前泄露的账户和密码,到12306上进行登录测试,如果恰巧用户使用了同样的用户名和密码,那么黑客就进入到这个账户,进而获得身份证和电话等相关信息。实际上,后来也有其他机构发出同样的猜想。后面我们会提到。

  所以,新浪科技根据抽查的样本,大致能得出这样几个结论:

  1、已经泄密的数据库绝大部分数据都是真实的。

  2、数据库肯定不是最新的。

  3、这部分数据很可能是有人通过“撞库攻击”获得。也就是利用以前泄露的账号信息,尝试登录12306网站,并最终获得身份证号码、手机号等信息。

  4、泄露的信息规模可能并不大,用户并不需要恐慌,但是出于安全考虑,还是建议修改一下密码。

  在这次的调查中,我们还附带统计到一些有趣的数据:哪些第三方的购票服务用户较多。结果显示80位受访者中,11个使用过第三方服务,其中:5个使用360提供的火车票购票服务、2个用高铁管家、2个用猎豹浏览器、1个用携程,1个用去那儿。

  刚才提到有机构也作出了结论,如下所述。

  关于12306用户帐号、密码等敏感数据信息泄露问题,乌云方面通过抽查部分帐号验证后发现确实可以登录。乌云官方表示,目前通过白帽子分析,数据疑似黑客撞库后整理得到而并非12306直接泄漏,请用户及时修改密码同时慎用抢票工具。

  安全公司——知道创宇的安全研究团队也与新浪科技得出了相同的结论,所谓的12306数据泄露事件实际是“撞库攻击”。

  据报道,知道创宇随机抽取了一批帐号(约50个)均成功登陆12306,证明了该批数据是准确的;随机联系了该批数据中的多个qq用户,均反馈没有使用过抢票软件且近期没有购票行为;经与群中人员进行交流,普遍认为该批数据为撞库所得,并不存在12306全部数据。

  最后,安全人员搜索以往互联网上的数据进行了匹配,从17173、7k7k、uuu9等网站泄露流传的数据中搜索到了该批13.15万条用户数据,可以确认该批数据全部是通过撞库获得。

  不知道这个结论是否已被官方认可。在昨日新浪科技的调查中,80位用户中有两位表示收到过12306提示修改密码的短信,也就是说大部分用户没有得到这个提示。究竟什么样的用户能够得到12306的提示呢?似乎找不到一个恰当的解释。

  新浪科技昨天下午致电北京12306客服,在沟通中客服显然已经知悉此次泄密风波,并对新浪科技表示,所有12306的注册用户都会得到修改密码的提示,并已经委托运营商发送提示短信,用户收到时间会有不同。显然,这更像是一个托词般的解释。

  风波过后,值得反思的是,一场不应被高估的泄密事件,为何演变成小小的恐慌?

  回顾这个事件。乌云首先爆出漏洞,12306迅速作出回应,指责网上泄露的用户信息系经其他网站或渠道流出。不仅如此,12306在声明中建议“不要使用第三方抢票软件购票,或委托第三方网站购票”,暗示泄露数据的就是第三方抢票软件或者网站。

  昨天下午这些第三方软件纷纷对新浪科技表示无辜中枪。

  从我们和其他机构的分析来看,似乎的确与第三方无关。由此我们进一步大开脑洞猜想,也许这次的事件,会引发对第三方插件和网站的新一轮监管。一直以来,第三方的火车购票服务就存在争议,未来究竟会怎样?一切还不得而知。

文章关键词: 12306泄密第三方

分享到:
收藏  |  保存  |  打印  |  关闭

已收藏!

您可通过新浪首页(www.sina.com.cn)顶部 “我的收藏”, 查看所有收藏过的文章。

知道了

0
收藏成功 查看我的收藏
猜你喜欢

看过本文的人还看过