您当前的位置：首页 > 品牌动态

12306用户数据泄漏官方提醒勿用抢票软件

2017-03-18 17:28:18

　　原标题：13万12306用户数据遭兜售官方提示勿用抢票软件

　　昨日(12月25日)上午，据乌云漏洞平台曝料，大量中国铁路客服中心12306用户数据在互联网上被疯传贩售，泄漏资料包括用户账号、明文密码、身份证、邮箱等敏感信息，目前尚不清楚这些数据是从何途径泄漏的。

　　据该漏洞曝料者、名为“追寻”的白帽子表露，这批12306数据先是在网上售卖，目前已变成公然传播。对此，中国铁路客户服务中心回应称，“经我网站认证审核，网上泄漏的用户信息系经其他网站或渠道流出”，并提示勿用抢票软件。目前，公安机关已参与调查。

　　记者从瑞星互联网攻防实验室得悉，目前已取得该文件完全信息，14MB(兆)大小的文件中，泄漏信息约有131653条，且用户信息100%真实有效。同时，瑞星表露，在对12306网站安全监测时，发现6个子网站存在Struts2远程监控漏洞，利用子网站入侵主站是1种惯用手段，但因权限问题不能确认泄密路径。

　　13万条真实信息遭泄漏/

　　记者从乌云平台得悉，这则关于12306网点的漏洞报告，危害等级显示为“高”，漏洞类型则是“用户资料大量泄漏”。报告描写在互联网上疯传的信息，包括用户账号、姓名、明文密码、身份证号码和邮箱等。泄漏途径未知，漏洞已提交给了国家互联网应急中心进行处理。

　　据瑞星完全获得的遭到泄密的资料显示，在14MB大小、名为《12306邮箱-密码-姓名-身份证-手机(售后群31109xxxx).txt》的文件中，泄漏信息有131653条，且用户信息100%真实有效。

　　瑞星高级工程师唐威向记者介绍，“13万条用户数据也许只是冰山1角，瑞星同时获得了另外1份疑似12306网站的泄漏文件，目前正在检测，该文件大小为22GB(千兆)。如果信息确认是用户数据，初步推算泄密人数约为2亿，不排除有人利用泄漏信息获利的可能。”不过，截至记者发稿时，这些文件信息还没有得到确认。

　　中国铁路总公司相干人士表示，12306网站为中国铁路总公司信息技术中心主管，铁总历年均强调旅客不要使用第3方抢票软件进行歹意刷票，但目前经12306网站所出车票有80%是通过抢票软件实现的，且该比例还在不断提升。

　　中国铁路客户服务中心也提示旅客，不要使用第3方抢票软件购票，或拜托第3方网站购票，以避免个人身份信息外泄。部份第3方网站开发的抢票软件中，有捆绑式销售保险功能。

　　6个子网站存漏洞/

　　根据瑞星互联网攻防实验室研究，信息泄漏可能有3条路径：1是12306网站本身出现问题;2是第3方抢票软件或插件出现信息漏洞;3是黑客用“撞库”的方式获得这部份用户信息。

　　“撞库”是指黑客采取此前其他平台泄漏的用户信息，用自动化程序在12306大量登录实验，有相同账号和密码成功登录便可获得更多用户信息。

　　“国内互联网公司大多出现过信息泄漏事件，产生‘撞库’其实不意外。”唐威表示，瑞星在对12306网站安全监测时发现，12306主网站下属包括南方货物快运服务站、东北货物快运服务站等6个子网站发现了Struts2漏洞，利用该漏洞入侵者可以获得子网站管理员权限，并可以通过歹意代码控制子网站服务器对主站进行跳板入侵获得信息。

　　唐威进1步表示，“可以肯定的是漏洞存在，控制子网服务器入侵主网站也是黑客惯用手段，理想状态下可以通过该漏洞获得用户信息，但是因权限不允许测试，瑞星也不能肯定这是信息泄密的路径。”

　　2013年7月17日，乌云漏洞报告平台、SCANV网站安全中心等安全机构纷纭发出红色警报：Struts2再曝高危漏洞，该漏洞影响到Struts2.0⑵.3.15版本，可直接致使服务器被远程控制，引发数据泄漏。苹果、淘宝、京东、民生银行在内的多家公司及金融机构网站查出该漏洞。

　　彼时，国内网站安全服务商SCANV.COM确认，攻击者可以利用该漏洞，履行歹意Java代码，终究致使网站被完全入侵控制。

　　安全专家提示，12306网站数据泄漏有可能出现衍生风险：邮箱被“撞库”，更多个人信息因此被盗，手机号、身份证号被泄漏，乃至包括亲友信息。

　　据唐威介绍，泄漏文件中大部份用户采取了QQ邮箱和163邮箱作为账号，如果购票明文密码与QQ1致，黑客一样可以采取“撞库”的方式登录QQ或微信，容易造成更大损失，因此提示12306用户尽快重设相干账户登录密码，保护信息安全。

TAG：