一.事件概述
12月25日上午11时许,漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告,危害等级显示为“高”,漏洞类型则是“用户资料大量泄漏”。这意味着,这个漏洞将有可能导致注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露。据了解,目前大约有14万12306用户数据在互联网上传播售卖,包括用户账号、明文密码、身份证、邮箱等个人信息,尚不清楚是否还有更多用户数据泄露,而泄漏的途径还不知道。
据乌云网报告显示,此漏洞已交由cncert国家互联网应急中心处理。
对此,中国铁路客户服务中心回应称,“经我网站认真核查,此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。我网站郑重提醒广大旅客,为保障广大用户的信息安全,请您通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止您的个人身份信息外泄。同时,我网站提醒广大旅客,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请广大旅客注意。”
二.网友热议
官网抢票太难,泄露信息却容易。
@天意他姐:你们弄的网站就是给犯罪分子准备的么?
@老谭家的baby:要是在12306上能买到票,谁还用第三方啊!
@黄胜友微博:还能干什么?抢票太难没戏。泄露密码却很容易!
赶紧去改密码!
@茶独:赶紧去改密码。
@花待葬78:改改改,我刚刚就改了嘿嘿,就是不知道自己的信息泄露了没有。
@木鱼:关注一下。有第三方的软件和APP确实会记录并上传用户密码的,以及离线抢票等需要提交自己用户名密码的服务,用过这些服务的还是尽快改密码吧。这个不好说是哪里的问题。
以后尽量不用第三方软件抢票。
@叫我柳疯子:走正规途径买票!
@ king_done:以后尽量都不要用第三方软件买票了。
@离愁:以后还是不要用第三方软件抢票了,不安全啊,但12306抢不到啊怎么办?
改了密码却登不进去!
@小狗痣多星:密码改了登不上坑爹啊不跟你玩了!
@hjj60:MBD,新密码登录失败,旧密码却可以,坑爹啊。
@文盲跪求我:我也是,提示我修改了然后重新登录的时候新密码上不去还是要旧密码。
用第三方软件导致信息被泄怪谁。
@乌云:基本不可能是12306的问题,最基本的加密保存这点不可能不知道。他要明文也没有用,干嘛做这个死。明显第三方私扣了。不过是谁呢?百度,网易,360?
@田老师的红烧肉:放到过去,就相当于,自己买不到票,隔壁老王说可以帮你买,于是你就放心交付老王了。结果老王出事儿了,他手里的信息丢马路上了。仅此而已。该怪谁挺明显的啊……
@qswang1988:如果是用户把账号密码身份证信息委托给第三方用于抢票的话,那该怪谁呢?12306应该不至于sb到在数据库里明文储存敏感信息吧,不过也没准。
其它观点
@刘洋是只伊卡洛斯:有句话怎么说来着,墙倒众人推。
@挖挖郝评:互联网时代,我们是否还有隐私?
三.安全专家建议
安全专家分析认为,12306数据泄露将有可能衍生以下风险:
1.邮箱被撞库(黑客拿12306泄露的用户名密码去尝试登录邮箱),更多个人信息因此被盗;
2.因手机号身份证号行程被泄露,骗子可能以退票为借口行骗;
3.因12306的数据实际包含亲友信息,也就是说,除了自己的信息之外,还会泄露亲友的身份信息,可能导致事件的影响面极大;
4.受害者遭遇恶作剧,预订的火车票被恶意退票。
建议:
1.立刻修改12306登录密码
2.尽快修改登录12306时使用的邮箱密码,邮箱服务和12306网站服务一定不要使用相同的登录密码。
3.切勿使用离线抢票功能。因为离线抢票就是第三方服务托管服务,必须明文存密码,且没法加密。所以一旦泄露就是明文。明文密码即未加密的原始密码,拿到这个密码就能登录别人的12306后台,实现所有功能。如用户设置的12306网站密码为123456,那么黑客拿到的数据库里,就会完整的显示出该用户的姓名和身份证号码,黑客便可以操纵该用户的12306账号进行买票、退票等操作。