12月25日,专注于互联网安全漏洞报告的乌云平台发布报告称,大量12306用户数据在互联网疯传,包括用户帐号、明文密码、身份证邮箱等,导致用户资料大量泄漏。目前已知公开传播的数据涉及用户数为131653条,尚不清楚是否有更多用户数据被泄露。
乌云网创始人邬迪告诉《21世纪经济报道》记者,“这是乌云网历史上,第一次如此大规模的铁路用户数据泄露。”
对此,12306官方网站发布公告称,经认真核查,此泄露信息全部含有用户的明文密码。公告表示,12306网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。
公告还提出,为保障广大用户的信息安全,请乘客通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止个人身份信息外泄。
中国铁路总公司官方微博26日上午发布消息称,铁路公安机关25日晚已将涉嫌窃取并泄露他人电子信息的犯罪嫌疑人抓获。经查,嫌疑人蒋某某、施某某通过收集某游戏网站以及其他多个网站泄露的用户名加密码信息,尝试登录其他网站进行“撞库”,非法获取用户的其他信息,谋取非法利益。
不同账号需设置不同登录密码
所谓“撞库”是指黑客通过获取用户在A网站的账户及密码尝试在B网址登录。由于大量用户对其多个账号设置的都是同一密码,因此,“撞库”事件早前就曾发生过。
“此次12306网站信息泄露即是被黑客撞库造成的。”前述《21世纪经济报道》引述360互联网安全中心的安全研究人员,经过他们调查发现,第一、几乎所有13万条12306账号密码,都可以在此前多家游戏网站泄露的密码库中匹配到相应的记录。说明黑客用多家游戏网站的密码库对12306发动 “撞库”攻击,筛选出13万余条使用相同账号密码的用户数据。第二,通过对12306泄露数据中的相关用户进行抽样调查,超过半数没有使用任何抢票软件,其余则是使用不同的抢票软件。
对此,专家提醒,用户应尽快修改12306登录密码、登录12306时使用的邮箱密码。为防“撞库”,不同账号需设置不同的登录密码。同时,切勿使用离线抢票功能,因为离线抢票就是第三方托管服务,必须明文存密码,且没法加密。
12306:不再售卖行程冲突车票
为防止利用他人身份信息在网上囤票倒票事件发生,12306官网今日(12月26日)发布公告称,今日起售票系统将不接受行程冲突(指同一乘车人的乘车时间出现交叉)的购票,如果旅客再次购票时被提示与前次购票行程冲突,需将已购车票办理改签或退票后重新购票。如发现身份信息被他人冒用购票,造成行程冲突不能购票的,可在互联网上举报或到就近车站指定窗口举报后继续购票。
