12306脱库疑云:410万用户数据仅售20美元!

2018 年 12 月 30 日 AI100


整理 | 胡巍巍

出品 | CSDN(ID:CSDNnews)

年关了,幺蛾子格外多!

有微博用户称,12306用户登录信息被出售了!

被挂出来售卖的,不仅有用户的姓名和电话,还有身份证、和注册时设置的问题以及问题的答案。

笔者获悉、并打码的泄露出来的用户信息

由下图帖子可知,这份等待售卖的数据,涉及60万账号、410万联系人信息。但卖家的“售价”却低得可怜,只要20美元、合计137元左右,就可以买到这份数据!


这份数据涉及的个人信息,不仅私密并且超级重要:ID、手机号、密码、姓名、身份证、邮箱、问题及答案等,都包含在里面。而安全问题,可用于通过申诉来获取其它平台账户的信息。

更要命的是,这份数据还包括每个账户中,添加的联系人信息、姓名和身份证号。

笔者随机用被泄露的用户的账号密码,登录12306,发现居然可以登上去!太可怕了!

近几年,12306数据泄露的新闻曝出不少,12306官方也曾澄清过。但是本次数据之详细,让许多人都非常惊讶!

就在刚刚,中国铁路发微博称:

“辟谣:网传信息不实,铁路12306网站未发生用户信息泄漏。铁路部门提醒广大旅客,请通过铁路12306官方网站(www.12306.cn)和“铁路12306”客户端(在“铁路12306”字体上方标有路徽和“中国铁路”字样的图标)购票,避免非正常渠道购票带来的风险。”

CSDN 程序人生(ID:coder_life)就此事,采访了网易云安全(易盾)首席架构师沈明星,他表示,由于12306数据量远远大于400万,所以推断可能是第三方泄露的,比如一些抢票软件。而要保护安全,就得尽快修改12306密码,如果这个密码在其他网站使用,比如微博、支付宝等,也要一并修改。此外,不要把账号密码托管给其他三方软件平台,账号尽量开启二次验证机制。

有说法认为,可能是QQ邮箱泄密的,因为大部分中国人只(都)有QQ邮箱。

不过沈明星表示,邮箱可能性不大,因为通过邮箱,拿不到密保问题的答案。


12306已经不是第一次泄露数据了


早在2014年圣诞节,漏洞报告平台乌云网出现了一则关于12306的漏洞报告,危害等级显示为“高”,漏洞类型则是“用户资料大量泄漏”。

这意味着,这个漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露,而泄漏的途径目前还不知道。后来,该漏洞提交给了国家互联网应急中心进行处理。



那么,用户信息一般都是怎么被泄露的呢?


1. 安全维护不及时

平台为了节约成本等原因,使用相似的源代码进行更改,以至于网站的数据管理模式落后、或存在缺陷。

在这些使用相同源代码的网站中,只要有一个网站被爆出系统漏洞,作案者就可利用该系统漏洞,来获取到其他网站的相关数据。

2. 黑客进行撞库

通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。

很多用户在不同网站,使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户,从而尝试登录B网址,这就可以理解为撞库攻击。

而不少用户隐私意识和数据安全意识不够强,总爱使用同一组用户名和密码,这些数据在一个网站被泄漏后,不法分子便可以通过这些公开的数据,对另一个网站上的数据进行撞库,借此很容易就能获取大量隐私数据。

3. 人为倒卖

服务商们为了针对用户做定制化服务,往往需要在 APP、软件、网站服务的各个环节,获取用户的个人信息。这些数据信息经公司内部人员收集之后倒卖出去,比如支付宝 2013年的用户信息泄密,就是由支付宝的技术员工,下载用户信息之后再倒卖的。


我们该如何保护个人信息?


对大多数普通用户来说,并没有能力去制止网站的泄密行为,但在我们的能力范围内,可以采取以下办法,来降低风险:

1. 手机设置密码有讲究

现在的智能手机很多都标配了指纹识别,解锁还是很方便的(图形密码太简单,容易被陌生人瞄到)。

2. 重要网站、App 的密码要独立设置

不要设置简单的数字和单词密码,Password或者123456这种密码,是最容易被黑客破解。与其信任你的记忆,不如信任一个复杂组合密码。

3. 不要在连接公共无线网络时登录账号

连公共WiFi时,账号隐私(如 Cookies)会存在被监听盗取的可能性。这时有个技巧:用浏览器的隐身模式上网即可。   

4. 设置二次验证

不管是邮箱还是社交账号都能够绑定手机号进行二次验证,比如我们最常用的 QQ、微信。这样即便服务商出现漏洞,黑客也无法通过获取的账户信息登录你的账号。

最后,年关了,希望大家都不要遇到这样的糟心事,该买票还是要买票,过年可是大事!

参考链接

https://baijiahao.baidu.com/s?id=1568292504647313&wfr=spider&for=pc



推荐




推荐阅读:



登录查看更多
0

相关内容

【干货书】现代数据平台架构,636页pdf
专知会员服务
254+阅读 · 2020年6月15日
干净的数据:数据清洗入门与实践,204页pdf
专知会员服务
161+阅读 · 2020年5月14日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
斯坦福2020硬课《分布式算法与优化》
专知会员服务
119+阅读 · 2020年5月6日
【WWW2020-微软】理解用户行为用于文档推荐
专知会员服务
35+阅读 · 2020年4月5日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
【CCL 2019】2019信息检索趋势,山东大学教授任昭春博士
专知会员服务
29+阅读 · 2019年11月12日
新书《面向机器学习和数据分析的特征工程》,419页pdf
专知会员服务
142+阅读 · 2019年10月10日
AWVS12 V12.0.190530102 windows正式版完美破解版
黑白之道
29+阅读 · 2019年8月24日
医药零售行业报告
医谷
9+阅读 · 2019年7月8日
20个安全可靠的免费数据源,各领域数据任你挑
机器学习算法与Python学习
12+阅读 · 2019年5月9日
7 款实用到哭的App,只说一遍
高效率工具搜罗
84+阅读 · 2019年4月30日
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
如何运营15万付费用户?
三节课
6+阅读 · 2019年2月28日
我是一个爬虫
码农翻身
12+阅读 · 2018年6月4日
有了场景和画像才懂用户
互联网er的早读课
6+阅读 · 2017年8月26日
How to Fine-Tune BERT for Text Classification?
Arxiv
13+阅读 · 2019年5月14日
Learning to Focus when Ranking Answers
Arxiv
5+阅读 · 2018年8月8日
Arxiv
9+阅读 · 2018年1月30日
VIP会员
相关VIP内容
【干货书】现代数据平台架构,636页pdf
专知会员服务
254+阅读 · 2020年6月15日
干净的数据:数据清洗入门与实践,204页pdf
专知会员服务
161+阅读 · 2020年5月14日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
斯坦福2020硬课《分布式算法与优化》
专知会员服务
119+阅读 · 2020年5月6日
【WWW2020-微软】理解用户行为用于文档推荐
专知会员服务
35+阅读 · 2020年4月5日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
【CCL 2019】2019信息检索趋势,山东大学教授任昭春博士
专知会员服务
29+阅读 · 2019年11月12日
新书《面向机器学习和数据分析的特征工程》,419页pdf
专知会员服务
142+阅读 · 2019年10月10日
相关资讯
AWVS12 V12.0.190530102 windows正式版完美破解版
黑白之道
29+阅读 · 2019年8月24日
医药零售行业报告
医谷
9+阅读 · 2019年7月8日
20个安全可靠的免费数据源,各领域数据任你挑
机器学习算法与Python学习
12+阅读 · 2019年5月9日
7 款实用到哭的App,只说一遍
高效率工具搜罗
84+阅读 · 2019年4月30日
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
如何运营15万付费用户?
三节课
6+阅读 · 2019年2月28日
我是一个爬虫
码农翻身
12+阅读 · 2018年6月4日
有了场景和画像才懂用户
互联网er的早读课
6+阅读 · 2017年8月26日
Top
微信扫码咨询专知VIP会员