12306购票网站用户数据外泄 有人被恶作剧退票
今日起,旅客可以通过网络购买明年2月23日大年初五的车票,春运返程抢票高峰也随即到来。这时官方购票网站12306却被曝用户资料大量泄露,很多用户身份证、邮箱等敏感信息在网络上流传,给广大旅客造成信息安全威胁,甚至有人在网络上反映,因信息泄露,预订的车票被人恶作剧退掉了。
12306网站昨日很快回应道,网上泄露信息应该来自其他渠道,同时提醒用户不要用第三方抢票软件。
乌云报告:12306用户资料大量泄露
昨日10时59分,国内最大的漏洞报告平台乌云官网(简称“乌云”)发布报告称,大量12306用户数据在互联网疯传。该报告称,漏洞危害等级为高级,在网上传播的12306用户数据包括账号、明文密码、身份证、邮箱等。该漏洞报告已交由国家互联网应急中心处理。乌云当时称,数据只是在传播售卖,目前无法确认是12306官方还是第三方抢票平台泄露,希望官方立即介入调查并通知已泄密用户修改密码!乌云在其官方微博表示,抽查了几个被泄露的账号,经过验证都可以登录,并称“数据疑似黑客撞库后整理得到而并非12306直接泄露”。
信息一出,网上一片哗然。乌云相关人士昨日告诉记者,这些泄露资料当天主要在一些黑客论坛里流传,但对这些客户的信息安全威胁已经存在。猎豹方面分析,12306数据泄露会产生不少衍生风险,如邮箱被撞库(黑客拿12306泄露的用户名密码去尝试登录邮箱),更多个人信息因此被盗;手机号、身份证号、行程被泄露,骗子可能以退票为借口行骗;12306的数据实际还包含亲友信息,可能导致事件的影响面极大;受害者遭遇恶作剧,预订的火车票被恶意退票。而且猎豹官方微博信息显示,已有旅客通过网络反映,从12306官方网站购买的车票被退票了!
12306发声:否认有问题,请公安介入
中国铁路客服中心12306网站昨日也对泄露事件迅速作出回应。下午就发表公告称,针对互联网上出现“12306网站用户信息在互联网上疯传”的报道,经网站认真核查,此泄露信息全部含有用户的明文密码。12306网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。
12306网站还郑重提醒广大旅客:“为保障广大用户的信息安全,请通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止您的个人身份信息外泄。”同时,铁路部门表示,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能。
抢票软件:纷纷否认和自己有关
与此同时,抢票软件也纷纷否认和自己有关,并称可继续安全使用。
360公司相关负责人昨日下午表示,通过对网上公开传播的超过13万条12306用户数据进行调查分析,此事与360无任何关系。猎豹浏览器官方微博也宣布,没有开发过任何需要用户提交个人资料信息的云抢票或者离线抢票功能,用户使用猎豹浏览器抢票时的入口是12306官方登录界面,猎豹浏览器现在不会、以后也不会上传或要求用户提交个人信息资料。
不过,一些业内人士建议,旅客应该立刻修改12306登录密码,要谨慎使用离线抢票功能,因为离线抢票就是第三方服务托管服务,必须明文存密码,且没法加密。
记者手记
没本事屏蔽 也只能怪责
一些旅客却因此陷入两难,不使用抢票软件,能够买到票吗?对此,记者也深有体会,在春运车票开售几日内,屡次使用抢票软件和自己动手抢票进行“比赛”,每次都是抢票软件胜出。
12306网站已经不是第一次被曝出信息安全问题。由于有着预售期的优势,12306网站成为春运售票主力军,但是该平台应该在安全、平等环境构造上给予旅客充分的保障,仅仅将泄密的责任踢给“其他网站”是不够的。如果12306网站能够成功屏蔽抢票软件,又会有多少旅客要使用各类抢票神器呢?
12306网站账号安全体系存缺陷
有关专家分析认为,正常情况下,注重安全的网站都不会使用明文密码。因此,这次泄露的13万个记录,极有可能是黑客通过其他数据库“撞库”整理出来的。“撞库”是指用黑客通过收集网络上已泄露的用户名及密码信息,生成庞大的密码库,然后到12306等网站尝试批量登录,得到一批可以登录的用户账号及密码。这一说法得到不少业内人士赞同。
根据安全研究人员分析,发现几乎所有13万条账号密码与之前一些游戏网站“泄密门”传出的账号密码完全匹配,基本可以确认该批数据是黑客通过“撞库”获得的。据悉这些信息可能在黑客之间“买卖”。12306网站被撞库,说明其账号安全体系存在缺陷,才会被黑客利用自动化程序尝试登录撞库。
对于此事件的影响,中国政法大学传播法研究中心研究员朱巍分析称,如果12306是出于过失导致信息泄露,司法实践中会采用过错推定原则确定侵权责任,“即先推定12306存在过错,然后由12306举证,证明自己尽到了安保责任”,朱巍说。
