12 月 28 日,Freebuf 稱,“圈內又在傳一張疑似12306洩露數據暗交易的圖,春運搶票高峰還沒到,黑產分子就已經出手了”。據稱,這份數據包括 60 萬账戶資訊,詳細到除了ID、手機號、密碼之外,連姓名、身份證、郵箱、問題及答案然都有,根據安全問題很可能能夠直接申訴獲取其它平台账戶的重要資訊。此外,還包括每個账戶中添加的聯繫人資訊,設計姓名及身份證號,這些聯繫人數據總量鋼彈410萬。
按照暗網兜售資訊的老規矩,兜售者還給出了 50 條隨機數據以供買家驗證。
隨後,鐵總出來辟謠:
不過,吃瓜群眾請注意,鐵總出來辟謠,說的是鐵路 12306 網站未發生用戶資訊洩露,並不代表此次用戶資訊洩露事件為假,按照安全圈的部分小夥伴驗證,這些資訊還真“對得上號”。
因此,一些媒體分析,此次在暗網出現的 12306 用戶可能來源自第三方搶票軟體,或者是不法分子撞庫所得,但雷鋒網從多個管道打聽得知,基本可以排除第二個選項。
曲子龍解釋,用戶在第三方平台上面輸入12306的账戶密碼,因為第三方平台需要保持用戶的持續登錄狀態,所以它要存儲其账戶密碼的明文,同時因為要填寫購票資訊,所以也存儲了一份用戶的個人資訊。
隨後,曲子龍還對雷鋒網編輯表示,其所在的團隊溯源了六個多小時,根據目前這份數據,他們推測,有兩種可能的洩露途徑。“一是老庫篩出來還能用的數據,但是這樣成本其實挺高;二是我之前的觀點第三方搶票軟體泄漏,12306在11月初改版後已經沒有問題和密保的資料欄,這份數據肯定不是新數據,某些搶票軟體在之前是有記錄過密保這個資料欄的,所以有一定可能,畢竟搶票軟體不是今年才開始的。”
“從老庫刪選的新數據”這一推測與知道創宇首席安全官周景平(黑哥)的觀點一致。不過,他對雷鋒網強調,目前都是推測,“個人傾向於老數據清洗所得”。
360 網絡安全響應中心高級安全分析師韓昊晟對雷鋒網表示,由於沒有之前的歷史數據不能判斷重合率,但是通過數據量、售價(20$)、暗網中其他12306帖子的數據可以看出,應該不是官方洩露。“可能來自之前歷史數據或第三方購票軟體的數據。另外,從暗網的帖子看,最近不止這一個人出售。還是建議用戶加強安全意識,通過官方管道購票避免非正常管道購票帶來的風險。”
雷鋒網還發現,安全公司“數字觀星”在其公眾號透露,根據目前暗網的交易記錄,已有 2 人付費購買。該公司定位到了疑似“賣家”的新浪微博。數字觀星稱,根據該博主的登錄歷史記錄,即可以組成一條成型的證據,觀星已經將相關證據提交給有關部門。
如果你在第三方搶票軟體登記過相關個人隱私資訊,以及在其他關鍵账戶上設定了與12306账戶類似的密碼,雷鋒網編輯建議,以防萬一,還是趕緊修改一把密碼吧!
香港九龍灣馬來街興發大廈15樓D室