臨近年關,不少小夥伴們已經打開自己的12306開始搶票!
但昨天,有用戶反映網上有人在出售12306用戶信息!
是的!就在12月28日上午,有人在網上發佈了售賣12306旅客信息的帖子,宣稱這次共有60萬個賬號洩漏,涉及410萬名旅客信息,包含旅客姓名、身份證號、手機號、登錄賬號、登錄密碼、郵箱等信息。
同時免費公開部分賬號供買家驗證,可成功登陸12306購票系統,並能查詢到旅客購票、聯繫人電話等信息。
而這 410萬條用戶信息更是被公開售賣,僅20美元!
也就是說你只需要支付約合人民幣140元就可以拿到這些信息!
有人反饋,用網站公佈的信息去登錄,竟然登錄成功!這真是太可怕了,在年關最需要搶票的時候出這樣的漏洞。
對此,中國鐵路回應稱:
"闢謠:網傳信息不實,鐵路12306網站未發生用戶信息洩漏。鐵路部門提醒廣大旅客,請通過鐵路12306官方網站(www.12306.cn)和"鐵路12306"客戶端(在"鐵路12306"字體上方標有路徽和"中國鐵路"字樣的圖標)購票,避免非正常渠道購票帶來的風險。"
那麼,這次12306的用戶信息到底是否出現了外漏呢?
對此,鏈合財經採訪了一些互聯網的用戶專家,他們表示:"除了12306以外,還有不少搶票的軟件都有共享12306用戶信息的權利,所以,也有可能是這些購票軟件洩露的,另外,12306的用戶信息遠遠不止410萬,所以其他同類搶票軟件洩露的可能性更大,但不論如何,用戶都需要更改自己的密碼和設置的問題,來保障自己個人信息的安全!"
對於這次這份洩露名單的真實性,我們並無從考證,但是不少人都在擔心:不發分子到底是從什麼渠道得到用戶信息的呢?
其實大批量用戶信息洩露一般有以下幾種可能:
1、 過年難買票是大家的共識,不少人甚至委託黃牛黨提前買票,這也誕生了不少搶票、加速的APP軟件,通過授權來共享用戶的信息,充當搶票代購的功能,但這些小的APP並沒有強大的安全團隊,所以極易被技術攻破導致信息洩露。
2、 人為倒賣。服務商在用戶的信息細節上越來越注重,很多APP軟件都需要進行詳細的個人信息填寫,作為網站、APP、軟件的後臺人員極易接觸這些信息,將後臺數據打包下載即可。例如之前支付寶用戶信息洩露,就是由於接觸數據的技術人員私自下載並打包賣出導致的。
3、 黑客進行數據撞庫。通過收集互聯網已洩露的用戶和密碼信息,生成對應的字典表,嘗試批量登陸其他網站後,得到一系列可以登錄的用戶。而不少用戶隱私意識和數據安全意識不夠強,總愛使用同一組用戶名和密碼,這些數據在一個網站被洩漏後,不法分子便可以通過這些公開的數據,對另一個網站上的數據進行撞庫,藉此很容易就能獲取大量隱私數據。
其實,關於12306用戶信息洩露已經不是第一次了。2014年12月25日,漏洞報告平臺烏雲網上,就曾出現一則關於12306的漏洞報告,危害等級顯示為"高",漏洞類型則是"用戶資料大量洩露"。當時,各方的回應如出一轍,紛紛撇開關係:12306表示"系經其他網站或渠道流出。"
而眾多第三方也都紛紛自證清白,
百度回應"百度衛士搶票寶本身就是一款安全軟件……不會出現洩露問題";
攜程回應稱,"此事與攜程沒有任何關係";
360回應稱,"360瀏覽器搶票軟件具有業界最嚴格的安全防護機制,從未發生數據洩露情況"等。
後來查明,嫌疑人是通過收集某遊戲網站以及其他多個網站洩露的用戶名加密碼信息,嘗試登錄其他網站進行"撞庫"從而獲取用戶信息。也就是說,那些在多個平臺用同一賬戶和密碼的用戶,基本就這麼一試就"暴露"了。
數據洩露防不勝防,那麼作為用戶我們應該怎麼避免呢?
手機隱私設置儘量不要用簡單的數字和圖文解鎖;重要的網站和APP登錄名和密碼儘量設置複雜,千萬不要設置123456或者abc這樣簡單的字母;儘量設置二次驗證,尤其是郵箱、QQ、淘寶、微信、支付寶這類重要的軟件APP.
馬上就要元旦節,不少人已經開始奔赴回家的列車,這次12306用戶信息洩露事件無疑為用戶信息安全敲牆了警鐘,信息時代,用戶的數據變得格外重要,所以也提醒大家要注意信息安全的保障。
最後,鏈合財經願大家在新的一年裡,和和美美,和氣生財!
閱讀更多 鏈合財經 的文章
