首页
社区
课程
招聘
12306“泄密”陷“罗生门” 赶紧换密码
发表于: 2014-12-27 16:32 1811

12306“泄密”陷“罗生门” 赶紧换密码

2014-12-27 16:32
1811
新闻链接:http://www.ce.cn/celt/wyry/201412/27/t20141227_4214955.shtml
新闻时间:2014年12月27日 07:30
新闻正文:提前60天买票变囤票 长途票多过短途票受质疑 13万条12306用户数据又遭泄露

  编者按

  昨日,国内最大的漏洞报告平台乌云官网爆出,大约13万条12306用户数据在互联网上被泄露并疯传。这意味着黑客完全可以利用用户12306账号进行买票、退票等操作。

  记者随后采访多家安全公司获悉,这次泄露的13万条记录,极可能是黑客通过其他数据库撞库整理出来的,后续还将产生更大的危害。

  事实上,春运抢票大战滋生的问题不止这一个。今年春运火车票预售期改为60天,买票难并未缓解,“囤票党”应运而生,一时间退票的比买票的还多。

  此外,不少人吐槽12306网站购票堪比“双11”秒杀,一开抢便秒光;同一条线路车次中,长途火车票不时有余票放出,而短途车票却一票难求。有业内人士指出,这与铁路部门“区间限售”政策有关。然而,限售政策真的合理吗?

  文/ 广州日报记者 薛松、周可 (除署名外)

  广州日报讯 昨日,国内最大的漏洞报告平台乌云官网爆出,大约13万条12306用户数据在互联网上被泄露并疯传,包括用户账号、明文密码、身份证邮箱等信息。这意味着黑客完全可以利用用户12306账号进行买票、退票等操作。

  与多家网站数据泄露有关

  多网站用同一密码存隐患

  昨日,记者随机抽取了十多个账号进行试验,均成功登录了12306,证明了该批数据是准确的。

  瑞星公司人士说,本次泄露事件,很可能与网民使用的抢票软件或购票网站安全性有关,问题的具体原因还在进一步核实中。

  而猎豹公司人士说,正常情况下,注重安全的网站都不会使用明文密码。因此,有关专家怀疑这次泄露的13万条记录,极可能是黑客通过其他数据库撞库整理出来的。

  到底黑客是如何“撞库”整理出来的呢?知道创宇一位人士说,通过搜索以往互联网上的数据进行匹配,从17173.com、7k7k.com、uuu9.com等网站泄露流传的数据中搜索到了该批13.15万条用户数据,基本可以确认该批数据全部是通过撞库获得。“这说明用户在多个网站使用同一密码的情况很普遍。”该人士说。

  抢票软件安全性众说纷纭

  此次数据泄露跟抢票软件有没有关系? 目前,各大浏览器见缝插针地推出了网上抢票版,市面上的抢票软件已有十几款之多。中国铁道科学研究院电子计算技术研究所副所长朱建生对媒体说:从保护个人信息安全的角度,建议不要使用第三方软件,因为将账户和密码交给第三方,安全是未知数。

  腾讯一位人士则说,抢票软件安全性还是有保障的,比如在账号保护和支付环节搭载安全防护体系,安全性可能就比较强。

  而猎豹浏览器相关产品负责人说,这需要区别对待,在线抢票软件“不存在安全隐患”,因为只是模拟用户在12306的操作,登录和下订单等内容都是直接通过12306的https请求操作的,没有存储用户信息。

  他说,但像离线抢票因为需要在插件商的服务器存储账号密码等相关信息,可能会有安全隐患。

  后续或还将产生更大危害

  据瑞星安全专家介绍,此次泄露的用户信息约有13万条,但很可能只是冰山一角,近期不排除有成百上千万的用户信息还将遭受泄露或黑市买卖。由于被泄露的信息真实率极高,而且大量用户使用手机号、QQ邮箱当做用户名,因此,除购票网站信息被泄露以外,后续还将产生更大的危害,例如:QQ、微信、邮箱等关键网络服务被盗,从而给网民带来严重的经济损失。

  焦点关注:

  新“玩法”下春运你抢到票了吗?

  问题1

  预售提前催生囤票:退票的比买票的还多

  尽管节前购票高峰已结束,但昨日上午,广州火车站售票厅的三个退票窗口前还是早早排起了长队,这些人几乎都是在买到了满意的车票之后,赶在15天免费退票期之前来退掉多余的“囤票”。

  在今年“火车票预售期提前60天”及“提前15天退票不收取退票费”新规下,囤票现象并非个案。王女士称,因无法确定单位的放假时间,只好囤下几张不同时间的车票备着以防万一,在接到准确放假通知后,她便前来退票。

  此前还有报道称,上海一对夫妻为抢两张回哈尔滨的车票,一共囤了21张车票。一直没买到票的张先生表示,“这些人占用这么多票,那我们没买到票的人怎么办?”囤了一张站票的白领小周则说,“现在提前60天就为买票寝食难安,严重影响年底工作。”

  铁路部门工作人员表示,囤票这种购票方式影响了他人购票,但目前却还没有办法进行约束。有业内人士指出,“在运力增加有限的情况下,预售期拉长到60天无济于事,以往买不到票的依然买不到票,只不过把抢票的时间提前了。唯一的好处就是每天刷刷捡别人退票的机会多一些,但这样会耽误更多时间和精力。”

  问题2

  提前15天退票免费:“黄牛”趁机兴风作浪

  由于囤票问题严重,有不少人开始质疑,“12306网站为何不限制每张身份证只能购买一张火车票?”对此,相关部门表示,对不同天同一车次或同一天不同车次,使用同一身份证号订票是没有问题的,部分旅客囤积多张火车票的做法并不违反火车票实名制规则。

  广州日报记者昨日在广州火车站发现,退票窗口的排队人群周围,总有不少形迹可疑的男女悄悄上前与排队退票者交谈。一名被搭话的退票者称,“他们是黄牛,想要我的退票。我说:‘我怎么能保证我退的票他们就能买到呢?’那个人只说他会跟我一起到窗口去,其他的他自有办法。”

  “虽然一张身份证只能买一张票,但‘黄牛’总有办法倒卖车票。”一业内人士称,“提前15天退票免收手续费,这大大增加了黄牛作案的机会。”他认为,关键问题还是要加大力度打击倒票行为。

  问题3

  区间限售不透明:抢票堪比“双11”秒杀

  在广州打工的张阿姨想抢一张能在除夕前回老家湖南岳阳的高铁票。可从12月19日到12月22日,连续三天都出现一开抢便一秒售完的情况。帮忙抢票的李小姐表示,“比双11的秒杀还难!”

  此后李小姐意外发现,“下午G68广州南到岳阳一直显示无票,但到晚上就突然有了很多G68到石家庄的车票,于是只好买了一张到石家庄的二等座让阿姨中途到岳阳下车。”记者发现,G68广州到石家庄的二等座车票比到岳阳贵了412元。

  对此,有内部人士称,上述情况与区间限售政策有关,一开抢便“秒光”,很大一部分原因是该车次在限售区间内没有放票或极少放票。上述人士举例称,“假如从A地为始发站,B地为终点站,那么前往中途C地的火车票便极有可能被限售。”但石家庄也并非G68终点站。

  不少网民猜测,铁路部门“弃短护长”或许是铁路公司用以牟利的手段。“都去买长途票,他们就多赚钱。”对此,有业内人士表示,关键是做到合理限售,“应首先在技术上得出在哪些路段限售,按什么比例限售,这些都要有精确统计。”

  各方回应PK

  12306官方:

  “针对互联网上出现“12306网站用户信息在互联网上疯传”的报道,经12306网站认真核查,此泄露信息全部含有用户的明文密码。而12306网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。

  为保障广大用户的信息安全,请旅客通过12306官方网站或官方手机客户端购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止您的个人身份信息外泄。”

  360浏览器抢票软件:

  “360浏览器抢票软件具有业界最严格的安全防护机制,从没有发生数据泄露情况。通过对网上公开传播的超过13万条12306用户数据进行调查分析,此事与360没有任何关系。公安机关可以根据这些受害用户信息进行调查,很快就能挖出泄露数据的源头。”

  补救措施

  公信手机卫士工程师、安全专家王占涛提示说,在乌云的漏洞等级里,10就是很高的了;目前还不知道具体原因出在哪里,建议马上改掉12306的密码,各常用网站间的注册密码最好不要一样。然后,告诉12306上有资料的亲戚朋友:在最近半年内,不要相信类似任何“我是小王的朋友、警官、医生、学校老师……”的电话、短信,如果遇到紧急事态,一定要当面确认,才能从事汇款、ATM操作等高危动作。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//