12月25日消息,第三方漏洞报告平台乌云曝出12306网站现用户数据泄露漏洞,漏洞称,大量12306用户数据在互联网遭疯传,包括用户帐号、明文密码、身份证邮箱等。
今日,漏洞报告平台乌云发布“高”危害等级漏洞报告称12306的用户资料大量泄露,引发不少网友的担忧,纷纷登陆12306修改密码。而针对此次危机,12306通过微信等多个渠道发布公告表示,“已经认真审核,泄露信息全部含有用户明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。”
公告发出后,第三方抢票软件瞬间成为关注的焦点,引发网友的不少猜测,甚至为了安全考虑不再使用。
对此,网络安全专家表示,出现用户数据库的大量泄露,主要原因是因为将用户数据集中存在一台服务器上或是一个云端系统中,而浏览器为基础的抢票软件为了用户登录方便,都会提示用户是否保存登录用户名和密码,并自动上传服务器来存储用户的12306账户信息,因此不能排除此次泄露是第三方抢票软件造成。
据了解,目前第三方抢票软件大多是浏览器,并且很浏览器出于某些原因大多会采用明文密码的存放方式,由于浏览器需要将密码等用户信息上传到服务器或是云端,这就造成了如果软件提供方的服务器或是系统被黑客攻击,用户数据库也将会泄露,并因此出现大量用户隐私数据被泄露的严重问题。此外,今年还出现了离线抢票的方式,用户不但需要将12306用户名和密码提交,还要提供自己的身份证信息和手机号等隐私信息,而这些信息被泄露将造成更严重的后果。
据记者调查,目前的第三方抢票软件中,除百度卫士抢票宝是安全客户端软件外,无论是360还是猎豹,这些第三方抢票软件大多是以浏览器为基础。
对此,百度卫士抢票宝相关负责人表示,百度卫士抢票宝本身就是一款安全软件,用户的关键数据都是保存在本地,也就是用户的电脑中,并不具备云同步功能,因此并不会出现用户12306账号、密码、身份证等敏感信息收集和泄露的问题。
目前,事态的进展还处于关注阶段。但是也在此提醒大家,要抢票成功更要注意安全,尽快修改12306密码,已经订到票的,警惕自己的票被他人恶意退掉。如果12306的密码是自己常用密码,也要注意防范牵连其他重要账号。
据介绍,用户数据只是在传播售卖,目前数据泄漏途径未知,仍无法确认是12306官方还是第三方抢票平台泄漏。
据了解,漏洞已提交至国家互联网应急中心处理,不过相关部门尚未对此回应。
此前,12306已多次被曝出漏洞。早在今年1月份,有网友爆料称,12306订票网站可以利用假护照、假身份证完成订票。之后利用12306漏洞购票选上下铺的攻略在网上转发。今年7月15日,乌云又曝出12306购票软件存在漏洞,一人可购买一车厢票。
除了12306网站自身漏洞,近年来大量出现的第三方抢票平台也成为用户数据泄露的可能途径。专家介绍,第三方平台为了让购票更迅捷,运行时可能省去了一些步骤。而这些软件大多未经安全检测,安全性难以保障。
