为了进一步打击利用他人身份信息囤票倒票的现象,12月27日铁路12306再度发布新政,如果旅客发现身份被冒用,可以随时举报。
新政这个时间发布,这个时间点很容易让人联想到最近炒的沸沸扬扬的“13万用户信息泄露”的新闻。根据铁路公安部门发布的最新消息,已经于前天晚上将涉嫌窃取并泄露他人电子信息的犯罪嫌疑人蒋某某、施某某抓获。两人通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息,尝试登陆其他网站进行“撞库”,非法获取用户的其他信息,并谋取非法利益。
这里说的“撞库”,就是拿别的地方泄露的用户信息,去试,看看能不能登陆到12306上。不过这件发生在圣诞节当天的信息泄露案似乎并没有结束。360公司昨天告诉中国之声,12306手机APP确存在安全隐患。
从上午11点发现信息泄露,到晚上抓到两名犯罪嫌疑人,只用了不到一天。根据铁路公安机关发布的最新消息,事件基本可以还原为,先收集其他网站泄露出的用户名和密码,再通过撞库,尝试能否进入12306。这个事实可以得出两个结论:第一,用户信息并不是12306直接泄露的;第二,受害者大多是仅靠一套用户名和密码“走天下”。
事件并没有就此结束。360补天漏洞平台经过进一步检测发现,12306手机APP存在漏洞,才可能导致自动化撞库得以实现。
360安全专家赵武:为什么黑客能撞库成功?就在于它没有针对这个撞库行为进行一个拦截和识别。就是它没有做验证码或二次验证,只要你用户名和密码对了,它就可以登录成功。
按这个逻辑,有验证环节,就只能手工输入甚至被拦截;没有验证,就可以批量扫库,进而导致高达13万用户数据被疯狂转载的状况:
赵武:就比如说我要是有个验证码,或者短信确认,那黑客就没有办法自动化确认了,他就只能一个一个去试,成本高收益也很低。但如果用自动化工具跑1000万,我可能一天就跑完了。
目前,360已经将漏洞通报12306,案件也正在审理中。网友们在焦急抢票的同时,也在围观坐等结果。不过,既然我们只有这一个网上购票渠道,希望它能最大程度地,保证安全。
针对此次泄露事件,安全专家建议用户可采取以下措施避免安全隐患:首先,迅速修改12306网站登录密码;由于新密码同步到所有服务器需要时间,部分用户修改密码后,或不能立刻登录;另外,及时修改12306网站注册邮箱密码,邮箱密码与12306网站登录密码尽量不要一样。
同时,注册过12306的用户还要注意,泄露的用户信息以及亲友信息很有可能被不法分子利用,用户会在未来可能收到不少诈骗电话。建议用户在处理与银行转账汇款业务时务必要电话确认身份,谨防电信诈骗;订票的时候,切勿使用离线抢票功能。因为离线抢票就是第三方服务托管服务,必须明文存密码,且没法加密,所以一旦泄露就是明文密码。
另外,12306网站信息泄露被曝光后,网上出现许多12306网站信息泄露查询链接和软件,以可查询信息是否被泄露为由头,实则进行商品推广营销或是诈取用户信息。经证实,12306没有发布过类似网站页面,也并未发布泄密查询。安全专家也提醒,非官方查询页面不可轻易点击,因为里面可能会非法捕捉用户信息,甚至可能加载木马,入侵个人电脑和手机终端,更容易造成个人信息泄露。
本文素材来自于新华网
