明報新聞網海外版-明報加西版(溫哥華) - Ming Pao Canada Vancouver Chinese Newspaper
[ 前往新版面 ]
 
 
圖片
鐵路訂票12306網站現用戶數據昨日被爆泄露漏洞,包括身分證號碼等用戶數據遭大量泄露。(網上圖片)
放大
 

其他新聞
京漢輸官司開車亂撞 至少8傷
工商總局副局長 涉違法紀被查
反腐嚇阻炫富 私人機現退訂潮
車主忙領聖誕樹 豪車遭醉漢開走
福建6官落馬 5涉通姦
[顯示全部題目]

[昔日明報]

 
中國
 鐵路購票網用戶數據大泄露
近50漏洞長期未修復 春運購票期再出錯

【明報專訊】據內地媒體報道,第三方漏洞報告平台烏雲昨日曝出鐵路訂票12306網站現用戶數據泄露漏洞,據了解,本次被泄露的數據達131653 條,包括用戶帳號、明文密碼、身分證和郵箱等多種信息。12306官方網站當日公告稱,經認真核查,此泄露信息全部含有用戶的明文密碼。12306網站數據庫所有用戶密碼均為多次加密的非明文轉換碼,網上泄露的用戶信息是經其他網站或渠道流出。目前,公安機關已經介入調查。

這不是12306網站第一次發生用戶信息泄露事件了,但卻是最大的一次。

21世紀經濟報道稱,12月25日上午10時59分,烏雲網發布漏洞報告稱,大量12306用戶數據在網絡上瘋狂傳播。而此時,正是春運購票的關鍵時刻,12306網站每天的訪問量都很驚人。

此前,12306已多次被曝出漏洞。早在今年1月份,有網友爆料稱,12306訂票網站可以利用假護照、假身分證完成訂票。之後利用12306漏洞購票選上下鋪的攻略在網上轉發。今年7月15日,烏雲又曝出12306購票軟件存在漏洞,一人可購買一車廂票。

多位接受採訪的安全專家對此事件分析認為,這次很可能是黑客「撞庫」行為造成的,而非12306網站直接泄露,但同樣說明12306網站仍存在安全漏洞。不過,也有一些專家認為事件原因仍不明。

專家稱,所謂「撞庫」就是黑客通過收集網絡上已泄露的用戶名及密碼信息,生成對應的「字典表」,到其他網站嘗試批量登錄,得到一批可以登錄的用戶帳號及密碼。

據烏雲官網發布的消息稱,漏洞已交由第三方廠商國家互聯網應急中心處理。12月25日,國家互聯網應急中心人士表示:「事件正在調查當中,結果以官網發布為準。」

在12306網站在發布上述提示公告時,還特別提醒旅客不要使用第三方搶票軟件購票。這使得外界懷疑,此次泄露由第三方搶票軟件而起。

一位長期研究刷票軟件的人員告訴21世紀經濟報道,目前搶票軟件發展速度極快,但並不存在十分清晰的盈利模式,因此從第三方軟件中泄露數據的可能性也依然存在。

而據一位對烏雲網比較了解的專業人士稱,12306網站從2012年2月開始,在烏雲網上被披露的漏洞接近50個,其中涉及用戶資料泄漏和敏感信息泄露的漏洞佔7%,而還有44%的漏洞可間接導致信息泄露,例如命令執行漏洞和數據庫注入漏洞。

而這些被監測到的漏洞都持續了很長時間。這位專業人士稱,他們也不明白為什麼這些漏洞一直沒有被補救。

對這次用戶信息泄露事件,網絡議論熱烈。有網友擔心,這些泄露的信息是否包含購票過程使用的銀行卡等信息等。專業人士建議,如果用戶在其他網站也使用了12306網站同樣的用戶名和密碼,應當修改密碼。

 
 
今日相關新聞
鐵路購票網用戶數據大泄露
[顯示全部題目]

 
廣告 advertisement
 
 
廣告 advertisement
 
 
 
 
 
主頁 ,  聘請 , 招租 ,
商業招租  ,  出讓  ,  補習  , 
招生  ,  各類服務  ,  其他