如果你在中国铁路购票网站12306上注册并且购买过火车票,或者是通过第三方抢票平台购买过火车票,那么建议你最好立刻登录网站对自己的密码进行修改。
13万条用户信息“裸奔”
乌云漏洞平台曝12306信息泄露,漏洞报告平台乌云漏洞今日发布报告称,大量12306用户数据在互联网疯传,包括用户帐号、明文密码、身份证邮箱等,导致用户资料大量泄漏。乌云网报告显示,此漏洞已交由cncert国家互联网应急中心处理。
互联网安全公司瑞星的安全专家向记者表示,此次泄露的用户信息约有13万条,但很可能只是冰山一角,近期不排除有成百上千万的用户信息还将遭受 泄露或黑市买卖。由于被泄信息真实率极高,而且大量用户使用手机号、QQ邮箱当做用户名,因此,后续还可能产生更大危害,例如QQ、微信、邮箱等关键网络 服务被窃取,从而给网民带来损失。
12306称不是自己责任
消息传出后,12306随后进行了官方回应: “针对互联网上出现‘网站用户信息在互联网上疯传’的报道,经我网站认真核查,此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密 的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。”
用户信息到底是从何处泄出,尚不得而知,但12306在回应中同时提醒用户,不要使用第三方抢票软件购票,或委托第三方网站购票。
昨日下午,包括携程、360、猎豹在内的第三方购票平台以及抢票软件提供方,均纷纷发布声明称信息泄露与己无关。
尽快改密码并提防诈骗
对于信息泄露的原因,360安全专家安扬分析认为,12306数据泄露将有可能衍生以下风险:1.邮箱被撞库(黑客拿12306泄露的用户名密码去尝试 登录邮箱),更多个人信息因此被盗;2.因手机号、身份证号被泄露,骗子可能以退票为借口行骗;3.因12306的数据实际包含亲友信息,可能导致事件的 影响面极大;4.受害者遭遇恶作剧,预订的火车票被恶意退票。
对此,猎豹移动安全专家建议用户采取以下措施尽可能避免安全隐患:立刻修改12306登录密码;尽快修改登录12306时使用的邮箱密码,邮箱服务和12306网站服务一定不要使用相同的登录密码。
此外,专家建议受信息泄露影响的所有人应小心处理可能的诈骗电话和短信。同时,与银行转账汇款有关的业务,务必电话确认身份。
乌云网漏洞报告者称,数据只是在传播售卖,目前无法确认是12306官方还是第三方抢票平台泄漏。不过一些内部人士表示,称12306本身是加密存的密码,应该是第三方抢票软件泄露的。
乌云漏洞平台曝12306信息泄露 网友:我好像裸奔
针对此次漏洞报告,12306网站发布了官方公告:
关于提醒广大旅客使用12306官方网站购票的公告
针对互联网上出现“12306网站用户信息在互联网上疯传”的报道,经我网站认真核查,此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。
我网站郑重提醒广大旅客,为保障广大用户的信息安全,请您通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止您的个人身份信息外泄。
同时,我网站提醒广大旅客,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请广大旅客注意。
中国铁路客户服务中心
2014年12月25日
相关阅读:乌云网是什么?
WooYun是一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台。其名字来源于目前互联网上的“云”,在这个不做“云”不好意思和人家打招呼的时代,网络安全相关的,无论是技术还是思路都会有点黑色的感觉,所以自然出现了乌云。
你可以叫他乌云,或者巫云,或者我晕,但是我们坚信它是汇聚互联网安全研究者力量的,将带来暴风雨清洗一切的乌云。
乌云网是国内一个立足于计算机厂商和安全研究者之间的安全问题反馈及发布平台,用户可以在线提交发现的网站安全漏洞,企业用户也可通过该平台获知自己网站的漏报。
乌云网上线几年来,一直是IT软件开发者技术交流的论坛,所探讨的技术也仅是各自领域内所接触的各类技术BUG,并通过网上互动交流促进软件开发技术的发展。乌云网成立的初衷也是致力于成为一个服务于互联网IT人士技术开发的互动平台,在业界有着一定的影响力。
原标题:乌云漏洞平台曝12306信息泄露 网友:我好像裸奔
