鐵路購票網用戶數據大泄露
近50漏洞長期未修復 春運購票期再出錯

[2014.12.26] 發表
鐵路訂票12306網站現用戶數據昨日被爆泄露漏洞,包括身分證號碼等用戶數據遭大量泄露。(網上圖片)

【明報專訊】據內地媒體報道,第三方漏洞報告平台烏雲昨日曝出鐵路訂票12306網站現用戶數據泄露漏洞,據了解,本次被泄露的數據達131653 條,包括用戶帳號、明文密碼、身分證和郵箱等多種信息。12306官方網站當日公告稱,經認真核查,此泄露信息全部含有用戶的明文密碼。12306網站數據庫所有用戶密碼均為多次加密的非明文轉換碼,網上泄露的用戶信息是經其他網站或渠道流出。目前,公安機關已經介入調查。

這不是12306網站第一次發生用戶信息泄露事件了,但卻是最大的一次。

21世紀經濟報道稱,12月25日上午10時59分,烏雲網發布漏洞報告稱,大量12306用戶數據在網絡上瘋狂傳播。而此時,正是春運購票的關鍵時刻,12306網站每天的訪問量都很驚人。

此前,12306已多次被曝出漏洞。早在今年1月份,有網友爆料稱,12306訂票網站可以利用假護照、假身分證完成訂票。之後利用12306漏洞購票選上下鋪的攻略在網上轉發。今年7月15日,烏雲又曝出12306購票軟件存在漏洞,一人可購買一車廂票。

多位接受採訪的安全專家對此事件分析認為,這次很可能是黑客「撞庫」行為造成的,而非12306網站直接泄露,但同樣說明12306網站仍存在安全漏洞。不過,也有一些專家認為事件原因仍不明。

專家稱,所謂「撞庫」就是黑客通過收集網絡上已泄露的用戶名及密碼信息,生成對應的「字典表」,到其他網站嘗試批量登錄,得到一批可以登錄的用戶帳號及密碼。

據烏雲官網發布的消息稱,漏洞已交由第三方廠商國家互聯網應急中心處理。12月25日,國家互聯網應急中心人士表示:「事件正在調查當中,結果以官網發布為準。」

在12306網站在發布上述提示公告時,還特別提醒旅客不要使用第三方搶票軟件購票。這使得外界懷疑,此次泄露由第三方搶票軟件而起。

一位長期研究刷票軟件的人員告訴21世紀經濟報道,目前搶票軟件發展速度極快,但並不存在十分清晰的盈利模式,因此從第三方軟件中泄露數據的可能性也依然存在。

而據一位對烏雲網比較了解的專業人士稱,12306網站從2012年2月開始,在烏雲網上被披露的漏洞接近50個,其中涉及用戶資料泄漏和敏感信息泄露的漏洞佔7%,而還有44%的漏洞可間接導致信息泄露,例如命令執行漏洞和數據庫注入漏洞。

而這些被監測到的漏洞都持續了很長時間。這位專業人士稱,他們也不明白為什麼這些漏洞一直沒有被補救。

對這次用戶信息泄露事件,網絡議論熱烈。有網友擔心,這些泄露的信息是否包含購票過程使用的銀行卡等信息等。專業人士建議,如果用戶在其他網站也使用了12306網站同樣的用戶名和密碼,應當修改密碼。

更多中國新聞
京漢輸官司開車亂撞 至少8傷
【明報專訊】北京一名男子懷疑因房屋糾紛、不滿法庭判決,26日早上開車在街上亂撞途人,至少8人受傷。 事發26日上午10時39分,目擊者... 詳情
【明報專訊】據中央紀委監察部網站消息,國家工商行政管理總局副局長、黨組成員孫鴻志涉嫌嚴重違紀違法,目前正接受組織調查。據悉,孫鴻志任職期間,... 詳情
【明報專訊】受內地深度反腐及厲行節約影響,被視為「炫富」象徵的私人飛機銷售大受打擊,近日更出現「退訂潮」。不少富豪為免與「貪腐」掛u,不惜損... 詳情
【明報專訊】福州一女子在參加聖誕聚餐後,準備開車回家,車子ㄟ坅嶀~想起酒店贈送的禮物未領,便下車前往領取禮物,當她走出酒店時,卻發現自己的寶... 詳情
【明報專訊】福建省紀委監察廳前日通報,龍岩市人大原副主任盧泉昌(圖)利用職務上便利為他人牟取利益、收受賄賂、違反廉潔自律規定從事商業活動,並... 詳情

明報網站 · 版權所有 · 不得轉載
Copyright © 2014 mingpaocanada.com All rights reserved.
Ming Pao Daily News A wholly owned subsidiary of Ming Pao Enterprise Corporation Ltd.
Vancouver Chinese Newspaper

5368 Parkwood Place, Richmond B.C. V6V 2N1 | Tel.: (604) 231-8998 | Fax: (604) 231-9881/9884 | Advertising Hotline Tel.: (604) 231-8992