鐵路購票網用戶數據大泄露
近50漏洞長期未修復 春運購票期再出錯
【明報專訊】據內地媒體報道,第三方漏洞報告平台烏雲昨日曝出鐵路訂票12306網站現用戶數據泄露漏洞,據了解,本次被泄露的數據達131653 條,包括用戶帳號、明文密碼、身分證和郵箱等多種信息。12306官方網站當日公告稱,經認真核查,此泄露信息全部含有用戶的明文密碼。12306網站數據庫所有用戶密碼均為多次加密的非明文轉換碼,網上泄露的用戶信息是經其他網站或渠道流出。目前,公安機關已經介入調查。
這不是12306網站第一次發生用戶信息泄露事件了,但卻是最大的一次。
21世紀經濟報道稱,12月25日上午10時59分,烏雲網發布漏洞報告稱,大量12306用戶數據在網絡上瘋狂傳播。而此時,正是春運購票的關鍵時刻,12306網站每天的訪問量都很驚人。
此前,12306已多次被曝出漏洞。早在今年1月份,有網友爆料稱,12306訂票網站可以利用假護照、假身分證完成訂票。之後利用12306漏洞購票選上下鋪的攻略在網上轉發。今年7月15日,烏雲又曝出12306購票軟件存在漏洞,一人可購買一車廂票。
多位接受採訪的安全專家對此事件分析認為,這次很可能是黑客「撞庫」行為造成的,而非12306網站直接泄露,但同樣說明12306網站仍存在安全漏洞。不過,也有一些專家認為事件原因仍不明。
專家稱,所謂「撞庫」就是黑客通過收集網絡上已泄露的用戶名及密碼信息,生成對應的「字典表」,到其他網站嘗試批量登錄,得到一批可以登錄的用戶帳號及密碼。
據烏雲官網發布的消息稱,漏洞已交由第三方廠商國家互聯網應急中心處理。12月25日,國家互聯網應急中心人士表示:「事件正在調查當中,結果以官網發布為準。」
在12306網站在發布上述提示公告時,還特別提醒旅客不要使用第三方搶票軟件購票。這使得外界懷疑,此次泄露由第三方搶票軟件而起。
一位長期研究刷票軟件的人員告訴21世紀經濟報道,目前搶票軟件發展速度極快,但並不存在十分清晰的盈利模式,因此從第三方軟件中泄露數據的可能性也依然存在。
而據一位對烏雲網比較了解的專業人士稱,12306網站從2012年2月開始,在烏雲網上被披露的漏洞接近50個,其中涉及用戶資料泄漏和敏感信息泄露的漏洞佔7%,而還有44%的漏洞可間接導致信息泄露,例如命令執行漏洞和數據庫注入漏洞。
而這些被監測到的漏洞都持續了很長時間。這位專業人士稱,他們也不明白為什麼這些漏洞一直沒有被補救。
對這次用戶信息泄露事件,網絡議論熱烈。有網友擔心,這些泄露的信息是否包含購票過程使用的銀行卡等信息等。專業人士建議,如果用戶在其他網站也使用了12306網站同樣的用戶名和密碼,應當修改密碼。
