12306 用户信息被叫卖,官方回应为第三方泄漏
(给程序员的那些事加星标)
整合整理:程序员的那些事(ID:IProgrammer)
网传 12306 泄露用户数据
12 月 28 日,有人在暗网发帖叫卖 12306 网站用户数据,数据包含了 60 万账户和 410 万联系人,包括了用户 ID、手机号、明文密码、身份证、邮箱、问题答案等等。价格很低,只需要价值 20 美元的比特币。
此外,发布者公布了 50 名旅客信息,供买家查询验证。
疑似被泄露的 12306 用户数据:
12306 官方回应,第三方泄露
28 日下午,中国铁路总公司官方微博发布信息称,网传信息不实,铁路12306网站未发生用户信息泄漏。提醒广大旅客通过铁路 12306 官方渠道购票,避免非正常渠道购票带来的风险。
28 日傍晚,新京报记者致电 12306 官方客服,其表示网传账号密码等信息为旅客登录第三方平台(非官方购票平台)时泄漏,建议信息被泄漏的旅客及时更改账号、密码,通过官方平台购票。
有网友和记者根据网帖中提供的 50 份用户信息,成功登录了 12306 网站。
总结划一下重点
1. 叫卖帖所涉及的 12306 用户信息,经网友和记者测试应属实;
2. 12306 官方回应是这些信息是第三方泄露的;
3. 被泄露的信息中,有明文密码,还有相应的密保问题及答案;(引出一个问题:为啥第三方渠道会有密保问题和答案)
IT 技术圈的讨论
第三方抢票软件,是需要用户自己填写用户名和密码的,是否要密保问题及答案,我不清楚。我以前一直是在 12306 官网买火车票的,没用过第三方抢票,所以在微博问了一下:
根据用过的网友回复:第三方抢票软件不需要密保。
另外一位网友 black cat 提到的一种可信性:
一旦其他人拿到用户名和密码后,Ta 就能登录 12306,把包括密保问题及答案的所有信息拿走。
@殷迦南:
说一下自己的想法: 1、12306明文密码可能性为0,不可能泄漏明文密码 2、有密保信息的很可能是前几年泄漏的就数据 3、12306如果真泄漏,就不会只是这么一点点 4、第三方泄漏以及被撞库的可能性较大 所以基本还是站12306的!
安全圈大佬 @余弦:
据悉,本次疑似 12306 泄露的库,QQ 邮箱占比 74.1%,网易邮箱占比 21.2%,毫无悬念的占比。基本定论是第三方抢票类软件的泄露,而非 12306 自己的泄露。
第三方安全,有的时候,真不是自己可以控制的...
安全圈大佬 @tombkeeper:
那个号称卖 12306 数据的,发布信息时用了新浪的图床。然而新浪图床的 URL 中其实隐含了用户 UID 信息。所以可以根据图片 URL 找到发布图片所用的账号。不过看那个微博内容不太像干黑产的,也许是账号被盗用了。卖库的人手上有很多微博账号也并不奇怪。
从新浪图床 URL 获得发布者微博地址的代码网上有很多例子,这是我见过的最简洁的一个实现,短短十几行处理了两种情况:
还有网友提到:12306 应该拦截异地登录,以免信息进一步泄露。
此次 12306 事件,无论真假,但保险起见,建议大家:
1. 请尽快修改密码;
2. 及时修改跟 12306 同密码的相关网站密码,防止被撞库造成二次伤害;
3. 开通手机短信认证提醒,避免被别人撞库
4. 通过你信任的渠道购票;
(参考:新京报、开源中国、微博)
推荐阅读
(点击标题可跳转阅读)
关注「程序员的那些事」加星标,不错过圈内事
喜欢就点一下「好看」呗~