12306 脫庫疑雲:410 萬用戶資料僅售 20 美元!
年關了,么蛾子格外多!
有微博使用者稱,12306使用者登入資訊被出售了!
被掛出來售賣的,不僅有使用者的姓名和電話,還有身份證、和註冊時設定的問題以及問題的答案。
筆者獲悉、並打碼的洩露出來的使用者資訊
由下圖帖子可知,這份等待售賣的資料,涉及60萬賬號、410萬聯絡人資訊。但賣家的“售價”卻低得可憐,只要20美元、合計137元左右,就可以買到這份資料!
這份資料涉及的個人資訊,不僅私密並且超級重要:ID、手機號、密碼、姓名、身份證、郵箱、問題及答案等,都包含在裡面。而安全問題,可用於通過申訴來獲取其它平臺賬戶的資訊。
更要命的是,這份資料還包括每個賬戶中,新增的聯絡人資訊、姓名和身份證號。
筆者隨機用被洩露的使用者的賬號密碼,登入12306,發現居然可以登上去!太可怕了!
近幾年,12306資料洩露的新聞曝出不少,12306官方也曾澄清過。但是本次資料之詳細,讓許多人都非常驚訝!
就在剛剛,中國鐵路發微博稱:
“闢謠:網傳資訊不實,鐵路12306網站未發生使用者資訊洩漏。鐵路部門提醒廣大旅客,請通過鐵路12306官方網站(www.12306.cn)和“鐵路12306”客戶端(在“鐵路12306”字型上方標有路徽和“中國鐵路”字樣的圖示)購票,避免非正常渠道購票帶來的風險。”
CSDN 程式人生(ID:coder_life)就此事,採訪了網易雲安全(易盾)首席架構師沈明星,他表示,由於12306資料量遠遠大於400萬,所以推斷可能是第三方洩露的,比如一些搶票軟體。而要保護安全,就得儘快修改12306密碼,如果這個密碼在其他網站使用,比如微博、支付寶等,也要一併修改。此外,不要把賬號密碼託管給其他三方軟體平臺,賬號儘量開啟二次驗證機制。
有說法認為,可能是QQ郵箱洩密的,因為大部分中國人只(都)有QQ郵箱。
不過沈明星表示,郵箱可能性不大,因為通過郵箱,拿不到密保問題的答案。
12306已經不是第一次洩露資料了
早在2014年聖誕節,漏洞報告平臺烏雲網出現了一則關於12306的漏洞報告,危害等級顯示為“高”,漏洞型別則是“使用者資料大量洩漏”。
這意味著,這個漏洞將有可能導致所有註冊了12306使用者的賬號、明文密碼、身份證、郵箱等敏感資訊洩露,而洩漏的途徑目前還不知道。後來,該漏洞提交給了國家網際網路應急中心進行處理。
那麼,使用者資訊一般都是怎麼被洩露的呢?
1. 安全維護不及時
平臺為了節約成本等原因,使用相似的原始碼進行更改,以至於網站的資料管理模式落後、或存在缺陷。
在這些使用相同原始碼的網站中,只要有一個網站被爆出系統漏洞,作案者就可利用該系統漏洞,來獲取到其他網站的相關資料。
2. 黑客進行撞庫
通過收集網際網路已洩露的使用者和密碼資訊,生成對應的字典表,嘗試批量登陸其他網站後,得到一系列可以登入的使用者。
很多使用者在不同網站,使用的是相同的帳號密碼,因此黑客可以通過獲取使用者在A網站的賬戶,從而嘗試登入B網址,這就可以理解為撞庫攻擊。
而不少使用者隱私意識和資料安全意識不夠強,總愛使用同一組使用者名稱和密碼,這些資料在一個網站被洩漏後,不法分子便可以通過這些公開的資料,對另一個網站上的資料進行撞庫,藉此很容易就能獲取大量隱私資料。
3. 人為倒賣
服務商們為了針對使用者做定製化服務,往往需要在 APP、軟體、網站服務的各個環節,獲取使用者的個人資訊。這些資料資訊經公司內部人員收集之後倒賣出去,比如支付寶 2013年的使用者資訊洩密,就是由支付寶的技術員工,下載使用者資訊之後再倒賣的。
我們該如何保護個人資訊?
對大多數普通使用者來說,並沒有能力去制止網站的洩密行為,但在我們的能力範圍內,可以採取以下辦法,來降低風險:
1. 手機設定密碼有講究
現在的智慧手機很多都標配了指紋識別,解鎖還是很方便的(圖形密碼太簡單,容易被陌生人瞄到)。
2. 重要網站、App 的密碼要獨立設定
不要設定簡單的數字和單詞密碼,Password或者123456這種密碼,是最容易被黑客破解。與其信任你的記憶,不如信任一個複雜組合密碼。
3. 不要在連線公共無線網路時登入賬號
連公共WiFi時,賬號隱私(如 Cookies)會存在被監聽盜取的可能性。這時有個技巧:用瀏覽器的隱身模式上網即可。
4. 設定二次驗證
不管是郵箱還是社交賬號都能夠繫結手機號進行二次驗證,比如我們最常用的 QQ、微信。這樣即便服務商出現漏洞,黑客也無法通過獲取的賬戶資訊登入你的賬號。
最後,年關了,希望大家都不要遇到這樣的糟心事,該買票還是要買票,過年可是大事!
參考連結
https://baijiahao.baidu.com/s?id=1568292504647313&wfr=spider&for=pc
熱 文 推 薦
☞ 36 歲捧走圖靈碗!80 歲演算法大師高德納要在 105 歲完結《計算機程式設計藝術》
print_r('點個好看吧!');
var_dump('點個好看吧!');
NSLog(@"點個好看吧!");
System.out.println("點個好看吧!");
console.log("點個好看吧!");
print("點個好看吧!");
printf("點個好看吧!\n");
cout << "點個好看吧!" << endl;
Console.WriteLine("點個好看吧!");
fmt.Println("點個好看吧!");
Response.Write("點個好看吧!");
alert("點個好看吧!")
echo "點個好看吧!"
喜歡就點選“好看”吧!