每日最新頭條.有趣資訊

12306網站410萬用戶資訊被洩露?剛剛,中鐵總回應了!

28.12.2018

本文字數:1532,閱讀時長大約3分鐘

導讀:被掛出來售賣的,不僅有用戶的姓名和電話,還有身份證、和注冊時設定的問題以及問題的答案。

來源 |CSDN(ID:CSDNnews)

整理 |胡巍巍

年關了,么蛾子格外多!

有微博用戶稱,12306用戶登錄資訊被出售了!

被掛出來售賣的,不僅有用戶的姓名和電話,還有身份證、和注冊時設定的問題以及問題的答案。

12306用戶資訊疑被洩露

由下圖帖子可知,這份等待售賣的數據,涉及60萬账號、410萬聯繫人資訊。但賣家的“售價”卻低得可憐,只要20美元、合計137元左右,就可以買到這份數據!

這份數據涉及的個人資訊,不僅私密並且超級重要:ID、手機號、密碼、姓名、身份證、郵箱、問題及答案等,都包含在裡面。而安全問題,可用於通過申訴來獲取其它平台账戶的資訊。

更要命的是,這份數據還包括每個账戶中,添加的聯繫人資訊、姓名和身份證號。

筆者隨機用被洩露的用戶的账號密碼,登錄12306,發現居然可以登上去!太可怕了!

近幾年,12306數據洩露的新聞曝出不少,12306官方也曾澄清過。但是本次數據之詳細,讓許多人都非常驚訝!

就在剛剛,中國鐵路發微博稱:

CSDN 程式人生(ID:coder_life)就此事,採訪了網易雲安全(易盾)首席架構師沈明星,他表示,由於12306數據量遠遠大於400萬,所以推斷可能是第三方洩露的,比如一些搶票軟體。而要保護安全,就得盡快修改12306密碼,如果這個密碼在其他網站使用,比如微博、支付寶等,也要一並修改。此外,不要把账號密碼託管給其他三方軟體平台,账號盡量開啟二次驗證機制。

有說法認為,可能是QQ郵箱泄密的,因為大部分中國人隻(都)有QQ郵箱。

不過沈明星表示,郵箱可能性不大,因為通過郵箱,拿不到密保問題的答案。

用戶資訊一般都是怎麽被洩露的呢?

1. 安全維護不及時

平台為了節約成本等原因,使用相似的源代碼進行更改,以至於網站的數據管理模式落後、或存在缺陷。

在這些使用相同源代碼的網站中,只要有一個網站被爆出系統漏洞,作案者就可利用該系統漏洞,來獲取到其他網站的相關數據。

2. 黑客進行撞庫

通過收集互聯網已洩露的用戶和密碼資訊,生成對應的字典表,嘗試批量登陸其他網站後,得到一系列可以登錄的用戶。

很多用戶在不同網站,使用的是相同的帳號密碼,因此黑客可以通過獲取用戶在A網站的账戶,從而嘗試登錄B網址,這就可以理解為撞庫攻擊。

而不少用戶隱私意識和數據安全意識不夠強,總愛使用同一組用戶名和密碼,這些數據在一個網站被泄漏後,不法分子便可以通過這些公開的數據,對另一個網站上的數據進行撞庫,借此很容易就能獲取大量隱私數據。

3. 人為倒賣

服務商們為了針對用戶做定製化服務,往往需要在 APP、軟體、網站服務的各個環節,獲取用戶的個人資訊。這些數據資訊經公司內部人員收集之後倒賣出去,比如支付寶 2013年的用戶資訊泄密,就是由支付寶的技術員工,下載用戶資訊之後再倒賣的。

我們該如何保護個人資訊?

對大多數普通用戶來說,並沒有能力去製止網站的泄密行為,但在我們的能力範圍內,可以采取以下辦法,來降低風險:

1. 手機設定密碼有講究

現在的智能手機很多都標配了指紋識別,解鎖還是很方便的(圖形密碼太簡單,容易被陌生人瞄到)。

2. 重要網站、App 的密碼要獨立設定

不要設定簡單的數字和單詞密碼,Password或者123456這種密碼,是最容易被黑客破解。與其信任你的記憶,不如信任一個複雜組合密碼。

3. 不要在連接公共無線網絡時登錄账號

連公共WiFi時,账號隱私(如 Cookies)會存在被監聽盜取的可能性。這時有個技巧:用瀏覽器的隱身模式上網即可。

4. 設定二次驗證

不管是郵箱還是社交账號都能夠綁定手機號進行二次驗證,比如我們最常用的 QQ、微信。這樣即便服務商出現漏洞,黑客也無法通過獲取的账戶資訊登錄你的账號。

最後,年關了,希望大家都不要遇到這樣的糟心事,該買票還是要買票,過年可是大事!

獲得更多的PTT最新消息
按讚加入粉絲團