据12306官方网站消息,针对互联网上出现“12306网站用户信息在互联网上疯传”的报道,经12306官方网站认真核查,此泄露信息全部含有用户的明文密码。12306官方网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。
12306官方网站郑重提醒广大旅客,为保障广大用户的信息安全,请您通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止您的个人身份信息外泄。
同时,12306官方网站提醒广大旅客,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请广大旅客注意。
新闻连接
12306用户数据遭外泄专家:危害超以往
中新网12月26日电(IT频道张司南) 昨日,有网友在乌云平台发布了一篇题为《大量12306用户数据在互联网疯传包括用户账号、明文密码、身份证邮箱等(泄露途径目前未知)》的帖子,称黑客获取了12306用户信息并进行传播、买卖。此帖一经发出,便引起外界的高度关注。
据360方面披露,此次泄露的12306数据主要包括用户账号、明文密码、身份证、邮箱等用户重要信息,数据涉及用户约14万人。有安全团队测试,在近14万信息中随机抽取50条,尝试登陆12306官方网站,均可成功登陆,证明了该批泄露数据的真实性。有媒体报道称,这批用户数据信息的文本已在部分黑客论坛、QQ群分享并供下载。
就此,金山首席安全专家李铁军在接受中新网IT频道采访时表示:“12306官方网站记录的用户数据真实而全面,并且此次用户信息泄露相较以往12306出现的漏洞还要严重。”他进一步解释道,因为一个用户信息泄露,该账户中添加亲人的身份信息会一并被泄露。
360安全专家安杨同时表示:“这些信息在网络被公开分享与下载,或许还会为用户造成更严重的损失。值得注意的是,此番影响是不可逆的。”
对此,12306官网发布公告回应称:“经过调查,此次泄露的数据包含用户的明文密码,12306网站所有的用户密码为多次加密的非明文密码,网络泄露的用户信息系其他网站渠道流出。”中新网IT频道致电12306人工客服,对方强调:“用户信息外泄是从第三方网站流出,12306官网并不存在安全漏洞。若用户一直使用12306官方购票而从未使用第三方软件或网站购买,则用户信息不会被泄露。”
至于信息泄露原因,有分析指出,有可能是黑客直接攻击网站、散播刷票软件木马程序以及利用现有数据用户进行“撞库攻击”所致。
所谓“撞库攻击”是指黑客入侵部分网站与论坛,将注册用户数据资料盗走。在取得大量用户数据后,黑客将得到的数据在其它有价值的网站进行尝试登陆。因为很多用户喜欢使用同一密码,因此撞库攻击方式可以为黑客带来经济利益。
李铁军称:“虽然目前还无法确定具体原因,但可以推测黑客可能通过其他已经泄露的数据库进行‘撞库攻击’,导致12306账户信息泄露,此外,第三方抢票软件或网站若被黑客攻击也会导致12306用户信息泄露。”
针对此次泄露事件,安全专家建议用户可采取以下措施避免安全隐患
1,迅速修改12306网站登录密码;由于新密码同步到所有服务器需要时间,部分用户修改密码后,或不能立刻登录;
2,修改12306网站注册邮箱密码,且邮箱密码与12306网站登录密码不同;
3,泄露的用户信息以及亲友信息很有可能被不法分子利用,用户会在未来可能收到不少诈骗电话。建议用户在处理与银行转账汇款业务时务必要电话确认身份,谨防电信诈骗;
4,切勿使用离线抢票功能。因为离线抢票就是第三方服务托管服务,必须明文存密码,且没法加密,所以一旦泄露就是明文。(中新网IT频道)
凡注有"浙江在线"或电头为"浙江在线"的稿件,均为浙江在线独家版权所有,未经许可不得转载或镜像;授权转载必须注明来源为"浙江在线",并保留"浙江在线"的电头。
