12306用戶信息遭泄露 專家分析稱基本可定性為撞庫行為
責編:admin |2014-12-26 11:43:34昨天烏云網上貼出一則關于大量12306用戶數據被泄露的報告。這次的漏洞危害顯示為“高”,將會導致包括用戶帳號、明文密碼、身份證郵箱等用戶個人信息被泄露。專家分析稱這次事件基本可以定性為撞庫行為。
消息一出即在網絡上瘋狂傳播,引發全民吐槽與修改密碼狂潮。12306官方回應網站數據庫的所有用戶密碼均為多次加密的非明文轉換碼,網上泄露的用戶信息系經其他網站或渠道流出。目前,信息漏洞已提交至國家互聯網應急中心處理,不過相關部門尚未對此作出回應。
12306網站屢受詬病
今日漏洞報告平臺烏云網出現了一則關于12306的漏洞報告。報告稱大量12306用戶數據在互聯網遭瘋傳,包括用戶帳號、明文密碼、身份證郵箱等。
針對互聯網上出現“12306網站用戶信息在互聯網上瘋傳”的報道,12306官方網站發布公告回應稱,此泄露信息全部含有用戶的明文密碼。“我網站數據庫所有用戶密碼均為多次加密的非明文轉換碼,網上泄露的用戶信息系經其他網站或渠道流出。目前,公安機關已經介入調查。”
有網友借此揶揄12306網站的回應:“買不到票只怪我們手慢,信息泄露了就是我們去別的網站買票的后果,呵呵。”
事實上,12306網站的運營狀況一直都飽受用戶詬病批評。本月21號,作為唯一官方網絡購票渠道,12306網站迎來了春節火車票搶票最高峰。頁面刷新緩慢、查詢時出現“刷新失敗”、突然取消用戶登錄等問題已經見怪不怪了。如今在開售僅僅四天,12306再次發生重大的信息泄露安全事故,對于大部分用戶來說,即使此次事故不能全部歸咎于網站本身,12306繼續遭受詬病的命運還是難以避免了。
信息泄露引發全民修改密碼熱潮。南都記者接到用戶反映稱,多次嘗試都未成功修改密碼,而有部分網友則反映修改密碼后不能登陸網站;最悲催的一位網友則表示其在不知情的情況下遭遇“被退票”。
“在線填寫的個人信息并不是都加密的,像姓名、身份證號就是明文,銀行卡號、CVV碼就會強加密。”有“中國黑客教父”之稱的龔蔚說,“之所以一部分個人信息不加密,是出于資源使用效率和用戶體驗的考慮,加密要消耗系統資源,并且還需要解密、還原的過程,這樣使用起來程序繁多、速度很慢。”
基本定性為“撞庫”行為
“像這次12306泄密的事件,我們覺得存在三種可能:12306的服務器被攻破,第三方搶票軟件被攻破,或者是用戶信息被撞庫泄露。”獵豹移動安全專家李鐵軍對南都記者說。
“12306屬于國家級網站,其服務器被攻破可能性相對較小,同時其也官方聲明服務器儲存的是加密密碼,不是明文密碼,這導致其即使服務器被攻破,密碼破解也并不容易;至于搶票軟件則分兩種,一種是瀏覽器插件搶票,用戶密碼只保留在瀏覽器上,這種出現大面積泄密可能性顯然不現實;反而是提供離線下載的軟件,其密碼就停留在第三方服務器,存在泄密可能。”李鐵軍認為第三種情況,即黑客撞庫行為可能性相對較大。而作為國內首家提供離線下載功能的360則告訴記者,360通過HTTPs進行傳輸加密,服務端以加密密碼保存,用戶登錄取回時則星化處理。“不存在泄密可能。”
另據知道創宇安全團隊檢測評析,“這次事件基本可以定性為撞庫行為。理由如下:1、隨機抽取了一批帳號(約50個)均成功登陸12306,證明了該批數據是準確的;2、隨機聯系了該批數據中的多個qq用戶,均反饋沒有使用過搶票軟件且近期沒有購票行為;3、經與群中人員進行交流,并未有人見過該批18G的全部數據,普遍認為該批數據為撞庫所得,并不存在18G的12306全部數據。4、安全人員搜索以往互聯網上的數據進行了匹配,從17173.com、7k7k.com、uuu9.com等網站泄露流傳的數據中搜索到了該批13.15萬條用戶數據,基本可以確認該批數據全部是通過撞庫獲得。”知道創宇市場總監張毅告訴南都記者,黑客團隊從地下產業鏈收購海量用戶名及密碼數據,在12306、淘寶、京東等不同網站進行撞庫匹配,而大部分網民在各大互聯網平臺采用同一套用戶名密碼,這會讓黑客存在可乘之機。