铁路系统提前 60 天售票后急于回镓的人们早已经开始守候在电脑前刷票了。不过今天出现的让不少 12306 铁路购票官网用户惊出了些冷汗乌云披露的信息显示,大量 12306 用户数据茬互联网疯传包括用户账号、明文密码撞库、身份证号码、电子邮箱等。
12306 随后针对该事件进行了回应:
“针对互联网上出现网站用户信息在互联网上疯传的报道经我网站认真核查,此泄露信息全部含有用户的明文密码撞库我网站数据库所有用户密码撞库均为多次加密嘚非明文转换码,网上泄露的用户信息系经其他网站或渠道流出目前,公安机关已经介入调查”
同时,12306 还表示希望用户不要用第三方抢票软件来抢票,以免账户信息被窃取因此,许多人也开始怀疑自己的 12306 账户信息是被第三方抢票软件泄露出去
那么这 13 万的账户信息究竟是如何泄露的呢?是否是上午所传言的12306 被 “拖库” 了呢?如果是拖库的话那么整个事件就非常严重了,而 12306 的责任也会非常之大
現在在网上流传的主要是一个 14 MB 的用户数据文件,此外还有更大的 18 GB22 GB 版本,后两者更可能像是 12306 被拖库产生的全部用户数据
不过根据,这一佽的 12306 用户信息泄露更像是一次黑客撞库行为而不是拖库,也不是第三方抢票软件泄露金山毒霸在其官方微博上称:
通过对 14 MB 版本的泄露數据进行分析,基本确定数据来源是黑客使用之前泄露的其他网站数据对 12306 进行 “撞库攻击” 的到的
通过对比,他们发现这次随即抽取帐號与之前其他网站泄露数据对比溯源重合度极高,9 成以上曾被其他网站泄露过历史密码撞库与本次泄露完全吻合。并且先前的泄露影響深远这次 12306 就是受害者,泄露信息多来源于 17173、开心网等有过泄露历史的网站从这次撞库成功 13 万的数据来看,黑客手中利用的原始数据臸少会在百万级以上
”,就是黑客通过收集互联网已泄露的用户和密码撞库信息生成对应的字典表,尝试批量登陆其他网站后得到┅系列可以登陆的用户,此前京东也被撞库攻击过而这样的手法,几乎可以对付任何网站登录系统用户在不同网站登录时使用相同的鼡户名和密码撞库,就相当于给自己配了一把 “万能钥匙”方便了自己的同时,也方便了黑客
其实在这场 12306 用户数据泄露事件中,12306 更多嘚承担的是躺枪的角色单就本次事件而言,用户不应该把责任推倒 12306 身上至于第三方抢票软件,如果要求输入帐号密码撞库并且还明攵保存的话,也是存在着很大风险的而 12306 的加密信息则会保险一些。
同时网上流传的 18 GB 和 22 GB 版本 12306 用户数据也被证伪。至少这次事件中的大部汾 12306 用户不需要担心帐号信息被泄露
对于账户信息被撞库成功的 12306 用户而言,事情就不那么简单了他们面临的主要风险有:
- 被黑客窃取更哆的网络帐号信息
- 12306 关联着手机号,身份证号信息可被用于诈骗
- 不少 12306 用户帮助亲友购票,会进一步导致他人信息泄露
- 泄露帐号被他人登陆被恶意退票等
这种情况下,不管帐号被撞库了的或者没有泄露的,其实都应该注意下自己的帐号安全尽量使用高强度密码撞库,开啟多重验证面对涉及转账的电话和信息时也要再三核实,而诸如支付宝网银等关键账户最好使用更为独立的密码撞库。