- +1
12306回应大量用户信息遭泄露:系其他网站或渠道流出
乌云报告用户信息泄露
“网上泄露的用户信息系经其他网站或渠道流出。”12月25日中午,铁路客户服务中心12306网站(简称“12306网站”)发布了上述消息,以回应当日乌云漏洞报告平台发布的有关“12306用户资料大量泄漏”的信息,并表示公安机关已经介入调查。
当日,澎湃新闻(www.thepaper.cn)注意到,第三方抢票浏览器、抢票软件纷纷否认涉事。乌云则通过官方微博表示,其抽查了几个被泄露的帐号,经过验证都可以登录,并称“数据疑似黑客撞库后整理得到而并非12306直接泄漏”。
无法确认泄漏途径
12月25日11时许,乌云漏洞报告平台(简称“乌云”)发布报告称,大量12306用户数据在互联网疯传。
该报告称漏洞危害等级为高级,在网上传播的12306用户数据包括账号、明文密码、身份证、邮箱等。该漏洞报告已交由国家互联网应急中心处理。
乌云称,“数据只是在传播售卖,目前无法确认是12306官方还是第三方抢票平台泄漏,希望官方立即接入调查并且通知已泄密用户修改密码!”
上述信息发布后不久,12306网站立即作出回应。
其在一份“关于提醒广大旅客使用12306官方网站购票的公告”里表示,互联网上出现了“12306网站用户信息在互联网上疯传”的报道,经12306网站认真核查,此泄露信息全部含有用户的明文密码,“我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。”
同时,12306网站还郑重提醒旅客,“为保障广大用户的信息安全,请您通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止您的个人身份信息外泄。”12306网站称,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请广大旅客注意。
疑黑客撞库后整理得到
对于12306网站用户信息泄漏可能造成的风险,猎豹浏览器25日通过官方微博分析称,网站用户邮箱可能被“撞库”,即黑客以12306泄露的用户名和密码去尝试登录邮箱,由此导致更多个人信息因此被盗。同时,因用户手机号、身份证号被泄露,骗子可能以退票为借口行骗。在12306用户的数据中,还可能包含其亲友信息。
猎豹浏览器认为,这可能造成该事件影响面极大。此外,受害者还面临遭遇恶作剧,预订的火车票被恶意退票。
12月25日14时15分,乌云漏洞报告平台通过其官方微博再次发布消息称,“真相在这里!网上正流传一份12306用户帐号、密码等敏感数据。”
乌云称,其抽查了几个被泄露的帐号,经过验证都可以登录,“目前通过白帽子分析,数据疑似黑客撞库后整理得到而并非12306直接泄漏,请用户及时修改密码同时慎用抢票工具。这数据如果被黄牛拿到,把我们辛辛苦苦订的票退掉倒腾给别人怎么办。”
抢票软件纷纷否认涉事
澎湃新闻记者注意到,第三方抢票浏览器、抢票软件纷纷否认涉事。
针对12306网站用户资料大量泄露一事,360公司相关负责人25日下午表示,通过对网上公开传播的超过13万条12306用户数据进行调查分析,此事与360无任何关系。
当日,猎豹浏览器官方微博也宣布,“没有开发过任何需要用户提交个人资料信息的云抢票或者离线抢票功能,用户使用猎豹浏览器抢票时的入口是12306官方登陆界面。猎豹浏览器现在不会,以后也不会上传或要求用户提交个人信息资料,请大家放心。”
有IT业内人士认为,第三方抢票浏览器、抢票软件为了让购票更迅捷,运行时可能省去了一些步骤。这些软件不少未经安全检测,安全性难以保障。也有网友认为,正规的抢票浏览器、抢票软件绝不会自己砸自己的脚,“来源很容易就查得出来。那些正规的大公司绝不可能这样泄漏用户信息。”
针对互联网上出现“12306网站用户信息在互联网上疯传”的报道,经我网站认真核查,此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。
我网站郑重提醒广大旅客,为保障广大用户的信息安全,请您通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止您的个人身份信息外泄。
同时,我网站提醒广大旅客,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请广大旅客注意。
- 报料热线: 021-962866
- 报料邮箱: news@thepaper.cn
互联网新闻信息服务许可证:31120170006
增值电信业务经营许可证:沪B2-2017116
© 2014-2024 上海东方报业有限公司