侵权投诉
订阅
纠错
加入自媒体

12306网站13万用户资料泄露背后的网络安全技术解析

   12306网站在经历了上线后不断出现系统崩溃、卡死、页面无响应等技术性问题;以及高额的投资低劣的用户体验遭受质疑等问题之后。在2015年春运抢票进行时,12306网站又惊爆出12万用户资料泄露。这一次不再是简单的极差的用户体验,更涉及了安全问题。在这背后有什么技术秘密呢?

图片来自新华社

  事件回顾:

  2014年12月25日,10时59分,国内最大的漏洞报告平台乌云官网(简称“乌云”)发布报告称,大量12306用户数据在互联网疯传。该报告称,漏洞危害等级为高级,在网上传播的12306用户数据包括账号、明文密码、身份证、邮箱等。该漏洞报告已交由国家互联网应急中心处理。乌云当时称,数据只是在传播售卖,目前无法确认是12306官方还是第三方抢票平台泄露,希望官方立即介入调查并通知已泄密用户修改密码!乌云在其官方微博表示,抽查了几个被泄露的账号,经过验证都可以登录,并称“数据疑似黑客撞库后整理得到而并非12306直接泄露”。

  信息一出,网上一片哗然。乌云相关人士告诉记者,这些泄露资料当天主要在一些黑客论坛里流传,但对这些客户的信息安全威胁已经存在。猎豹方面分析,12306数据泄露会产生不少衍生风险,如邮箱被撞库(黑客拿12306泄露的用户名密码去尝试登录邮箱),更多个人信息因此被盗;手机号、身份证号、行程被泄露,骗子可能以退票为借口行骗;12306的数据实际还包含亲友信息,可能导致事件的影响面极大;受害者遭遇恶作剧,预订的火车票被恶意退票。而且猎豹官方微博信息显示,已有旅客通过网络反映,从12306官方网站购买的车票被退票了!

  事件相关方回复:

  12306发声:否认有问题,请公安介入

  中国铁路客服中心12306网站25日也对泄露事件迅速作出回应。下午就发表公告称,针对互联网上出现“12306网站用户信息在互联网上疯传”的报道,经网站认真核查,此泄露信息全部含有用户的明文密码。12306网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。

  12306网站还郑重提醒广大旅客:“为保障广大用户的信息安全,请通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止您的个人身份信息外泄。”同时,铁路部门表示,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能。

  抢票软件:纷纷否认和自己有关

  与此同时,抢票软件也纷纷否认和自己有关,并称可继续安全使用。

  360公司相关负责人昨日下午表示,通过对网上公开传播的超过13万条12306用户数据进行调查分析,此事与360无任何关系。猎豹浏览器官方微博也宣布,没有开发过任何需要用户提交个人资料信息的云抢票或者离线抢票功能,用户使用猎豹浏览器抢票时的入口是12306官方登录界面,猎豹浏览器现在不会、以后也不会上传或要求用户提交个人信息资料。

  正当春运火车票抢票时,这则消息一出,马上成了大众关注的焦点。那么,12306的用户信息是如何泄露的呢?

  数据如何泄露?

  瑞星公司针对12306网站约13万用户关键隐私信息被泄露事件进行调查后发现,12306网站主域名下共有6个分站存在严重的Strust2框架的远程执行漏洞,黑客可利用该漏洞控制分站服务器,进而攻击整个12306网站,并窃取所有数据库中的信息。因此,本次信息泄露事件有可能还会继续升温发酵。

  专家介绍,12306网站主域名下,共6个分站存在Strust2框架的远程执行漏洞,黑客可使用专业工具直接对网站进行攻击,遥控网站服务器下载恶意文件,获取最高控制权限,进行跳板攻击,进而对12306整个网站进行入侵,从而获取所有数据库中的信息。

  针对此次的12306用户信息泄露问题,有白帽子专家分析认为,数据疑似黑客撞库后整理得到,而并非12306直接泄漏,请用户及时修改密码,同时慎用抢票工具。

  所谓“撞库”,是一种针对数据库的攻击方式,通过攻击者所拥有数据库的数据通攻击目标数据库,可以理解为使用在A网站盗取的账户密码来登陆B网站,因为很多用户在不同网站使用的是相同的账号密码。

  再打个比方,就是你从大楼保安那里复制了一大串钥匙,然后跑到隔壁同一家建筑公司、同一批设计人员造的楼里,一把把试着去开不同的门。

  最近还有个“拖库”经常出现,它是指从数据库中直接导出数据,更加严重,因为这意味着数据库本身存在很大的漏洞。

  也有人怀疑是第三方抢票软件泄露所致,目前还没有证据可以证明,但无论如何,抢票的心情可以理解,但一定要注意保护自己的安全,并强烈建议12306用户更改密码,最好是和其他网站不同的密码。

  因为,这些数据已经在网上公然叫卖了,如果被黄牛拿到,把我们辛辛苦苦订的票退掉倒腾给别人,岂不是太郁闷了!

  虽然知道了密码可能的泄露方式,但是我们都有一个巨大的疑问。对每个用户来说至关重要的用户名和密码等关键信息,网站为什么会采用明码保存,难道是技术屏障?还是另有原因?

1  2  3  下一页>  
声明: 本网站所刊载信息,不代表OFweek观点。刊用本站稿件,务经书面授权。未经授权禁止转载、摘编、复制、翻译及建立镜像,违者将依法追究法律责任。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

电子工程 猎头职位 更多
扫码关注公众号
OFweek电子工程网
获取更多精彩内容
文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号