事件背景
2014年12月25日中午訊息,漏洞報告平台烏雲網出現了一則關於12306的漏洞報告,危害等級顯示為“高”,漏洞類型則是“用戶資料大量泄漏” 。
據了解,這則關於12306的漏洞報告,危害登記顯示為“高”,漏洞類型則是“用戶資料大量泄漏”,這意味著,這個漏洞將有可能導致所有註冊了12306用戶的賬號、明文密碼、身份證、信箱等敏感信息泄露,而泄漏的途徑目前還不知道 。
該漏洞已經提交給了國家網際網路應急中心進行處理,暫無進一步訊息 。
漏洞信息
漏洞概要
缺陷編號: WooYun-2014-88532
漏洞標題: 大量12306用戶數據在網際網路瘋傳包括用戶帳號、明文密碼、身份證信箱等(泄漏途徑目前未知)
相關廠商: 中國鐵道科學研究院
漏洞作者: 追尋
提交時間: 2014-12-25 10:59
公開時間: 2015-02-08 10:59
漏洞類型: 用戶資料大量泄漏
危害等級: 高
漏洞狀態: 已交由第三方廠商(cncert國家網際網路應急中心)處理
漏洞詳情
披露狀態:
2014-12-25: 細節已通知廠商並且等待廠商處理中
2014-12-25: 廠商已經確認,細節僅向廠商公開
簡要描述:
過年了,好多黑產牛不要命了,剛才看到12306的數據在傳播,竟然連我自己的敏感數據都有,哎。。。
PS:數據只是在傳播售賣,目前無法確認是12306官方還是第三方搶票平台泄漏,希望官方立即接入調查並且通知已泄密用戶修改密碼!扯淡媒體請繞行!
漏洞hash:b32175f79a8918a34488ecf17ea65068
漏洞回應
廠商回應:
危害等級:高
漏洞Rank:20
確認時間:2014-12-25 13:47
廠商回覆:
關於提醒廣大旅客使用官方網站購票的公告
針對網際網路上出現“網站用戶信息在網際網路上瘋傳”的報導,經我網站認真核查,此泄露信息全部含有用戶的明文密碼。我網站資料庫所有用戶密碼均為多次加密的非明文轉換碼,網上泄露的用戶信息系經其他網站或渠道流出。目前,公安機關已經介入調查。
我網站鄭重提醒廣大旅客,為保障廣大用戶的信息安全,請您通過官方網站購票,不要使用第三方搶票軟體購票,或委託第三方網站購票,以防止您的個人身份信息外泄。
同時,我網站提醒廣大旅客,部分第三方網站開發的搶票神器中,有捆綁式銷售保險功能,請廣大旅客注意。
中國鐵路客戶服務中心
2014年12月25日
事件經過
自2014年12月21號起,網上開始銷售2015年除夕火車票。隨即,作為唯一網路渠道,12306網站迎來搶票最高峰。但遺憾的是和往年一樣,這個斥資3億開發的網站還是沒有抗住壓力,頁面刷新緩慢、連續查詢時出現“刷新失敗”,甚至還會在關鍵時刻突然取消用戶的登錄 。
縱觀12306網站多年的運營情況,2012年底該網站就曾因故障兩次發公告暫停網上售票。如果說當時因為網站剛剛建立,尚缺乏運營經驗導致問題頻出還情有可原,如今,再次出現問題令眾多網友對其感到憤怒 。
烏雲報告
烏雲網報告顯示,此漏洞已交由cncert國家網際網路應急中心處理。烏雲網漏洞報告者稱,數據只是在傳播售賣,目前無法確認是12306官方還是第三方搶票平台泄漏。不過一些內部人士表示,稱12306本身是加密存的密碼,應該是第三方搶票軟體泄露的。大家也別把 12306 冤枉了,坐等結果,但是改個密碼還是很有必要的。
官方提醒
12306網站提醒廣大旅客,為保障廣大用戶的信息安全,請通過12306官方網站購票,不要使用第三方搶票軟體購票,或委託第三方網站購票,以防止您的個人身份信息外泄。同時,提醒廣大旅客,部分第三方網站開發的搶票神器中,有捆綁式銷售保險功能,請廣大旅客注意 。
官方公告
以下是12306官方網站購票的公告全文:
關於提醒廣大旅客使用12306官方網站購票的公告
針對網際網路上出現“12306網站用戶信息在網際網路上瘋傳”的報導,經我網站認真核查,此泄露信息全部含有用戶的明文密碼。我網站資料庫所有用戶密碼均為多次加密的非明文轉換碼,網上泄露的用戶信息系經其他網站或渠道流出。目前,公安機關已經介入調查 。
我網站鄭重提醒廣大旅客,為保障廣大用戶的信息安全,請您通過12306官方網站購票,不要使用第三方搶票軟體購票,或委託第三方網站購票,以防止您的個人身份信息外泄 。
同時,我網站提醒廣大旅客,部分第三方網站開發的搶票神器中,有捆綁式銷售保險功能,請廣大旅客注意 。
中國鐵路客戶服務中心
2014年12月25日
多方回應
百度
百度衛士搶票寶相關負責人表示,百度衛士搶票寶本身就是一款安全軟體,用戶的關鍵數據都是保存在本地,也就是用戶的電腦中,並不具備雲同步功能,因此並不會出現用戶12306賬號、密碼、身份證號碼等敏感信息收集和泄露的問題 。
攜程
此事與攜程沒有任何關係,攜程火車票的用戶賬號、密碼等相關數據是安全的,在傳輸和保存始終處於加密狀態,任何未經授權的人員都無法取得這些資料 。
360
關於12306信息泄露,360回應稱,360瀏覽器搶票軟體具有業界最嚴格的安全防護機制,從未發生數據泄露情況。通過對網上公開傳播的超13萬條12306用戶數據進行調查分析,此事與360沒有任何關係。公安機關能根據這些受害用戶信息進行調查,很快就能挖出泄露數據的源頭 。
騰訊
騰訊手機管家安全專家提醒,用戶最好通過12306官方站點購買車票,同時建議廣大12306用戶務必儘快修改12306網站密碼,其他網站、網銀、第三方支付軟體等利用與12306註冊信箱、密碼一致的也應立即修改。更需要提醒的是,這些數據有可能被犯罪分子用作精準詐欺,近期應謹防詐欺簡訊、詐欺電話等 。
搜狗
針對12306數據泄露,搜狗瀏覽器官方微博聲明稱:1、建議用戶儘快修改12306賬戶的密碼,以防範重要的個人信息被泄露,造成不必要的損失;2、請及時查詢已購的車票是否被惡意退票,以保證返鄉行程的一路平安 。
泄密追問
用戶數據如何被泄露?
專家稱可能密碼早已泄露,通過“撞庫攻擊”整理
有關專家分析認為,正常情況下,注重安全的網站都不會使用明文密碼。因此,這次泄露的13萬個記錄,極有可能是黑客通過其他資料庫“撞庫”整理出來的 。
360安全專家安揚也認為,12306的用戶信息是被“撞庫”泄漏的,“撞庫”是指用黑客通過收集網路上已泄露的用戶名及密碼信息,生成龐大的密碼庫,然後到12306等網站嘗試批量登錄,得到一批可以登錄的用戶賬號及密碼。一些網路安全公司昨天也發布聲明,並確認12306數據泄露事件為“撞庫攻擊 ”。
到底誰是“泄密者”?
專家稱基本確認由黑客獲取,“12306網站賬號安全體系存缺陷 ”
12306在官方聲明中稱,網上泄露的用戶信息系經其他網站或渠道流出,並提醒用戶不要使用第三方搶票軟體購票 。
安揚表示,根據安全研究人員分析,發現幾乎所有13萬條賬號密碼與之前一些遊戲網站“泄密門”傳出的賬號密碼完全匹配,基本可以確認該批數據是黑客通過撞庫獲得的。據悉這些信息可能在黑客之間“買賣”。12306網站被撞庫,說明其賬號安全體系存在缺陷,才會被黑客利用自動化程式嘗試登錄撞庫 。
專家建議
趕緊換密碼,不同網站用不同密碼並定期修改
能實現“撞庫攻擊”是因為很多用戶在不同網站使用的是相同的賬號密碼,因此黑客能通過獲取用戶在A網站的賬戶從而嘗試登錄B網址 。
12306的信息泄露有可能衍生風險,如信箱被“撞庫”(用12306的用戶名密碼去嘗試登錄信箱),造成更多個人信息被盜;因手機號身份證號行程的泄露,遭遇電信欺詐等,甚至可能遭遇已訂火車票被惡意退票的情況。
360安全專家安揚提醒12306用戶注意修改密碼。如有其他重要賬號使用了相同的註冊信箱和密碼,應一併修改 。
安揚稱,公安機關只要根據這十餘萬條數據相關用戶進行調查,很快就能挖出泄露數據的源頭。本次事件也再次為網際網路上的信息安全敲響了警鐘,安揚提醒用戶常用信箱、網上支付等重要賬號一定要單獨設定高強度密碼,並定期對密碼進行修改 。
惡意退票
烏雲觀點
12306用戶資料大量泄露
昨日10時59分,國內最大的漏洞報告平台烏雲官網(簡稱“烏雲”)發布報告稱,大量12306用戶數據在網際網路瘋傳。該報告稱,漏洞危害等級為高級,在網上傳播的12306用戶數據包括賬號、明文密碼、身份證、信箱等。該漏洞報告已交由國家網際網路應急中心處理。烏雲當時稱,數據只是在傳播售賣,目前無法確認是12306官方還是第三方搶票平台泄露,希望官方立即介入調查並通知已泄密用戶修改密碼!烏雲在其官方微博表示,抽查了幾個被泄露的賬號,經過驗證都可以登錄,並稱“數據疑似黑客撞庫後整理得到而並非12306直接泄露” 。
信息一出,網上一片譁然。烏雲相關人士昨日告訴記者,這些泄露資料當天主要在一些黑客論壇里流傳,但對這些客戶的信息安全威脅已經存在。獵豹方面分析,12306數據泄露會產生不少衍生風險,如信箱被撞庫(黑客拿12306泄露的用戶名密碼去嘗試登錄信箱),更多個人信息因此被盜;手機號、身份證號、行程被泄露,騙子可能以退票為藉口行騙;12306的數據實際還包含親友信息,可能導致事件的影響面極大;受害者遭遇惡作劇,預訂的火車票被惡意退票。而且獵豹官方微博信息顯示,已有旅客通過網路反映,從12306官方網站購買的車票被退票了 !
12306發聲
否認有問題,請公安介入
中國鐵路客服中心12306網站昨日也對泄露事件迅速作出回應。下午就發表公告稱,針對網際網路上出現“12306網站用戶信息在網際網路上瘋傳”的報導,經網站認真核查,此泄露信息全部含有用戶的明文密碼。12306網站資料庫所有用戶密碼均為多次加密的非明文轉換碼,網上泄露的用戶信息系經其他網站或渠道流出。目前,公安機關已經介入調查 。
12306網站還鄭重提醒廣大旅客:“為保障廣大用戶的信息安全,請通過12306官方網站購票,不要使用第三方搶票軟體購票,或委託第三方網站購票,以防止您的個人身份信息外泄。”同時,鐵路部門表示,部分第三方網站開發的搶票神器中,有捆綁式銷售保險功能 。
搶票軟體
紛紛否認和自己有關
與此同時,搶票軟體也紛紛否認和自己有關,並稱可繼續安全使用。
360公司相關負責人昨日下午表示,通過對網上公開傳播的超過13萬條12306用戶數據進行調查分析,此事與360無任何關係。獵豹瀏覽器官方微博也宣布,沒有開發過任何需要用戶提交個人資料信息的雲搶票或者離線搶票功能,用戶使用獵豹瀏覽器搶票時的入口是12306官方登錄界面,獵豹瀏覽器現在不會、以後也不會上傳或要求用戶提交個人信息資料 。
不過,一些業內人士建議,旅客應該立刻修改12306登錄密碼,要謹慎使用離線搶票功能,因為離線搶票就是第三方服務託管服務,必須明文存密碼,且沒法加密 。
記者手記
沒本事禁止
也只能怪責
一些旅客卻因此陷入兩難,不使用搶票軟體,能夠買到票嗎?對此,記者也深有體會,在春運車票開售幾日內,屢次使用搶票軟體和自己動手搶票進行“比賽”,每次都是搶票軟體勝出 。
12306網站已經不是第一次被曝出信息安全問題。由於有著預售期的優勢,12306網站成為春運售票主力軍,但是該平台應該在安全、平等環境構造上給予旅客充分的保障,僅僅將泄密的責任踢給“其他網站”是不夠的。如果12306網站能夠成功禁止搶票軟體,又會有多少旅客要使用各類搶票神器呢 ?
案件告破
據中國鐵路訊息,鐵路公安機關於2014年12月25日晚,將涉嫌竊取並泄露他人電子信息的犯罪嫌疑人抓獲。經查,嫌疑人蔣某某、施某某通過收集某遊戲網站以及其他多個網站泄露的用戶名加密碼信息,嘗試登錄其他網站進行“撞庫”,非法獲取用戶的其他信息,謀取非法利益 。