科普|啥是黑客“撞库”？12306网站为何漏洞频出

        12月26日12时许，中国铁路总公司官方微博通报，铁路公安机关于12月25日晚，将涉嫌窃取并泄露他人电子信息的犯罪嫌疑人抓获。

        经查，嫌疑人蒋某某、施某某通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息，尝试登录其他网站进行“撞库”，非法获取用户的其他信息，并谋取非法利益。目前，案件正在审理中。

        上述通报验证了安全专家的猜测，即此次泄露数据很可能是黑客“撞库”得到的，而非12306网站直接泄露。

        所谓“撞库”，就是黑客通过收集网络上已泄露的用户名及密码信息，生成对应的“字典表”，到目标网站尝试批量登录，得到一批可以登录的用户账号及密码。“撞库”就像黑客的一场恶作剧，只要用户在不同网站登录时使用相同的用户名和密码，黑客就会得手。

        12月25日下午，安全漏洞报告平台“乌云网”称，大量12306用户数据在网络上疯狂传播。泄露数据有13万条，包括用户账号、明文密码、身份证和邮箱等多种信息。

        12306随后经核查确认此情况，并表示12306网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。公安机关随即介入调查。

        尽管嫌犯已经抓获，但多位安全专家认为，12306账号安全体系存在缺陷，才会被黑客利用自动化程序尝试登录“撞库”，12306自身应当引起足够重视。

        12306网站由原铁道部下属的中国铁道科学研究院主导，联合太极计算机股份有限公司（002368）、同方股份（600100）参与建设，曾遭遇“招标黑幕”的质疑。

        猎豹移动安全专家李铁军告诉澎湃新闻（www.thepaper.cn），成熟的网站都会在用户登陆时设置两步验证程序。“登录不能仅仅靠账户和密码，像苹果iCloud、谷歌、微软都在此基础上，设置了动态密码的验证程序，多一层保护。国内很多网站为了节省成本，并没有设置这一道程序。”目前并不清楚，此次漏洞是否与验证程序设置有关。

        2012年至今，在乌云网上，关于12306网站被披露的漏洞接近50个，其中涉及用户资料泄漏和敏感信息泄露的漏洞占7%，还有44%的漏洞可间接导致信息泄漏，例如命令执行漏洞和SQL注入漏洞。

        今年7月，12306被曝安全漏洞。如果黄牛破解该漏洞，一个人就可以将全车厢的票买下来。12306之后确认漏洞存在，但称正在解决。

        早前，微信上一则“12306购票可选上下铺”的攻略被疯狂转发。乘客登陆12306网站，选定车次后点击预订车票，进入填写信息的界面后，“席别”一栏就出现了“硬卧”“硬座”及其价格的选择信息。12306称，该漏洞已被修复。

        还有一些漏洞持续了很长时间，12306选择“主动忽略”。这之中，最为“老掉牙”的一个问题就是，12306提供的根证书“SRCA”（中铁CA），这是其自行发布的证书，其采用的加密方式在4年前已被微软认定为“不安全”。每每用户登录网站时，就会出现“IE已阻止此网站显示有安全证书错误的内容”、“内容阻止，因为该内容没有签署有效的安全证书”等提示。这个情况从12306上线持续至今，但12306从不对此问题进行回应。

        除了技术漏洞，规则也一度有过漏洞。今年1月，12306被发现使用假身份证可以订票。12306称，该网站未与公安系统联网，对身份证号信息没有审核环节。直到3月，12306网站启用身份信息核验，未通过核验的身份信息不能完成购票。

        12月25日晚，瑞星公司报告称，12306网站主域名下共有6个分站存在严重的Strust2框架的远程执行漏洞，黑客可利用该漏洞控制分站服务器，进而攻击整个12306网站，并窃取所有数据库中的信息。

        瑞星公司警告，本次信息泄露事件有可能还会继续升温发酵。

        有媒体援引一名从事高铁安全行业的人士的话称，其实早在此次事件之前，铁科院内部已经发现这一问题，但至今尚未完全解决，直到如今事发。