12306用户信息泄露 官方回应抢票神器或是元凶

2014年12月26日15:53   羊城晚报 微博    收藏本文     

  羊城晚报记者 林曦 刘勇 实习生 赵松林

  又有大量用户个人信息被泄露了,这次涉及到了12306网站。25日,第三方漏洞报告平台乌云曝出12306网站现用户数据泄露漏洞,大量用户数据在互联网遭疯传,包括用户账号、明文密码、身份证、邮箱等。有消息称,此次遭泄露的账户数约13万。据12306官方网站消息,公安机关已经介入调查。

  据分析,本次泄露事件很可能与网民使用的抢票软件或购票网站安全性有关,具体原因还在进一步核实中。瑞星安全专家建议,网民应修改登录密码及QQ、微信、邮箱等关键应用的信息,将可能产生的损失降到最低。

  是谁泄露用户信息?

  针对此次泄露事件,12306官方回应称,12306数据库中的所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。提醒旅客通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票。同时,12306官方网站还表示,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请广大旅客注意。

  涉及抢票的网站也纷纷撇清关系。360公司回应称,360浏览器抢票软件具有业界最严格的安全防护机制,从没有发生数据泄露情况。猎豹安全专家李铁军表示,猎豹移动通过对网上公开传播的13万条用户数据分析,此次事件与猎豹移动没有关系。猎豹移动既不存在保存用户数据行为,也从未推出必须使用明文密码的离线抢票功能。

  信息为什么被偷走?

  值得关注的是,此次泄露的信息大部分是明文密码,即泄露信息里清晰显示用户的账户密码、姓名、身份证号。瑞星安全专家指出,拿到明文密码就能登录别人的12306后台,实现所有功能。

  有相关分析称,除了12306网站自身漏洞,近年来大量出现的第三方抢票平台也成为用户数据泄露的可能途径。专家介绍,第三方平台为了让购票更迅捷,运行时可能省去了一些步骤。而这些软件大多未经安全检测,安全性难以保障。

  猎豹安全专家李铁军对羊城晚报记者表示,导致此次12306网站用户数据泄露有可能是以下几种原因:一可能是第三方抢票软件存储了12306的数据,被黑客入侵后导致用户密码被盗;二或是因为黑客通过其他已泄露的邮箱数据库,进行撞库攻击(就是用相同的用户名密码去尝试登录12306网站),会导致更多个人信息因此被盗。

  瑞星安全专家介绍,此次泄露的用户信息约有13万条,但很可能只是冰山一角,近期不排除有更多用户信息还将遭受泄露或黑市买卖。

  买数据用来做什么?

  那到底是谁在窃取这些数据,这些数据对这些别有用心的人有什么用处呢?羊城晚报记者通过采访发现,黑客通过技术谋取利益已经形成了一条“黑色地下产业链”。“这个产业链一年收入可以高达上百亿元”。瑞星安全专家唐威告诉羊城晚报记者,如今最受青睐的是电商的用户信息,“因为这里包括了用户的地址、电话、银行账号、消费信息等最能变现的资料”。

  据记者了解,这个产业链分成了几个群体,共同支撑起这个黑客帝国。

  首先是卖方,有些是技术人员和销售人员,有些是工具制造者,他们比较容易近距离接触到用户的信息,但不会直接兜售。唐威介绍说,卖方拿到数据后并不会细分挖掘,而是直接抛给下游。

  “接手的中间商会将信息归类筛选,有些派发给房地产中介,有些给广告公司。”有业内人士透露,一级中间商的“产品”也并非直接卖给买方,一般是经过至少三个中间商再倒手,以逃避法律风险。最后接盘的是买方,有些买方还会专门定制用户信息,比如说哪个区域的白领,哪个区域的某电商用户。

  有安全领域人士透露:“一般按照文件大小来销售,打包的文件大部分是上百兆有上千条信息,一般是几万元。但若是电商用户的信息,甚至会按条数来卖,这个最值钱。”据悉,一个打包“产品”甚至可以叫价上百万元。

  信息被盗谁担责?

  用户账户密码频遭泄露,责任究竟该由谁来承担?

  目前司法实践中,如果用户仅以密码被泄露、侵害隐私权索赔的话,因举证不易、金额较小等原因难以得到赔偿。

  IT法律专家赵占领表示,目前关于泄露用户数据的安全保障法律仍是空白的,此前工信部直属的中国软件测评中心透露,《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。但是,有业内人士担心,指南不是强制性标准,甚至也不是推荐性标准,其执行效力如何,仍待观察。

  网友评论

  问题来了:

  官网能抢到票吗?

  No-PingWest:12306网站大量用户密码外泄,所以有空去改个密码吧。是不是被各种密码折腾得心力交瘁?提供个改密码思路:cptbtptp,意思是“吃葡萄不吐葡萄皮”。你有什么好创意?

  自干七:明文密码,一看就是抢票软件泄露的。12306峰值访问量超淘宝“双11”十倍,是世界上技术方面最强大的网站(用户体验稍差而已),没有之一。相信这种级别的网站对个人信息不加密的人都是逗逼。

  Mr司梦实:网传共有三个版本的库,目前只看到了14M的大概有13w多条,从数据格式来看撞库的可能性比较大。不过,从12306网站的安全性来看,也不排除被脱裤的可能性。

  蓝莓-No1:打击第三方抢票软件,那么问题来了,官网能抢到票吗?

文章关键词: 12306用户信息抢票神器

分享到:
收藏  |  保存  |  打印  |  关闭

已收藏!

您可通过新浪首页(www.sina.com.cn)顶部 “我的收藏”, 查看所有收藏过的文章。

知道了

0
收藏成功 查看我的收藏
猜你喜欢

看过本文的人还看过