12306个人信息外泄 信息安全堪忧
发布时间:2014-12-25

 
12306个人信息泄露

 

一.事件概述

 

12月25日上午11时许,漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告,危害等级显示为“高”,漏洞类型则是“用户资料大量泄漏”。这意味着,这个漏洞将有可能导致注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露。据了解,目前大约有14万12306用户数据在互联网上传播售卖,包括用户账号、明文密码、身份证、邮箱等个人信息,尚不清楚是否还有更多用户数据泄露,而泄漏的途径还不知道。

 

据乌云网报告显示,此漏洞已交由cncert国家互联网应急中心处理。

 

对此,中国铁路客户服务中心回应称,“经我网站认真核查,此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。我网站郑重提醒广大旅客,为保障广大用户的信息安全,请您通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止您的个人身份信息外泄。同时,我网站提醒广大旅客,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请广大旅客注意。”

 

二.网友热议

 

官网抢票太难,泄露信息却容易。

@天意他姐:你们弄的网站就是给犯罪分子准备的么?

@老谭家的baby:要是在12306上能买到票,谁还用第三方啊!

@黄胜友微博:还能干什么?抢票太难没戏。泄露密码却很容易!

 

赶紧去改密码!

@茶独:赶紧去改密码。

@花待葬78:改改改,我刚刚就改了嘿嘿,就是不知道自己的信息泄露了没有。

@木鱼:关注一下。有第三方的软件和APP确实会记录并上传用户密码的,以及离线抢票等需要提交自己用户名密码的服务,用过这些服务的还是尽快改密码吧。这个不好说是哪里的问题。

 

以后尽量不用第三方软件抢票。

@叫我柳疯子:走正规途径买票!

@ king_done:以后尽量都不要用第三方软件买票了。

@离愁:以后还是不要用第三方软件抢票了,不安全啊,但12306抢不到啊怎么办?

 

改了密码却登不进去!

@小狗痣多星:密码改了登不上坑爹啊不跟你玩了!

@hjj60:MBD,新密码登录失败,旧密码却可以,坑爹啊。

@文盲跪求我:我也是,提示我修改了然后重新登录的时候新密码上不去还是要旧密码。

 

用第三方软件导致信息被泄怪谁。

@乌云:基本不可能是12306的问题,最基本的加密保存这点不可能不知道。他要明文也没有用,干嘛做这个死。明显第三方私扣了。不过是谁呢?百度,网易,360?

@田老师的红烧肉:放到过去,就相当于,自己买不到票,隔壁老王说可以帮你买,于是你就放心交付老王了。结果老王出事儿了,他手里的信息丢马路上了。仅此而已。该怪谁挺明显的啊……

@qswang1988:如果是用户把账号密码身份证信息委托给第三方用于抢票的话,那该怪谁呢?12306应该不至于sb到在数据库里明文储存敏感信息吧,不过也没准。

 

其它观点

@刘洋是只伊卡洛斯:有句话怎么说来着,墙倒众人推。

@挖挖郝评:互联网时代,我们是否还有隐私?

 

三.安全专家建议

 

安全专家分析认为,12306数据泄露将有可能衍生以下风险:

1.邮箱被撞库(黑客拿12306泄露的用户名密码去尝试登录邮箱),更多个人信息因此被盗;

2.因手机号身份证号行程被泄露,骗子可能以退票为借口行骗;

3.因12306的数据实际包含亲友信息,也就是说,除了自己的信息之外,还会泄露亲友的身份信息,可能导致事件的影响面极大;

4.受害者遭遇恶作剧,预订的火车票被恶意退票。

 

 建议:

1.立刻修改12306登录密码

2.尽快修改登录12306时使用的邮箱密码,邮箱服务和12306网站服务一定不要使用相同的登录密码。

3.切勿使用离线抢票功能。因为离线抢票就是第三方服务托管服务,必须明文存密码,且没法加密。所以一旦泄露就是明文。明文密码即未加密的原始密码,拿到这个密码就能登录别人的12306后台,实现所有功能。如用户设置的12306网站密码为123456,那么黑客拿到的数据库里,就会完整的显示出该用户的姓名和身份证号码,黑客便可以操纵该用户的12306账号进行买票、退票等操作。