老余博客上线了!!!

12306 用户信息被叫卖,官方回应为第三方泄漏

随笔 老余 34℃ 0评论

网传 12306 泄露用户数据 12 月 28 日,有人在暗网发帖叫卖 12306 网站用户数据,数据包含了 60 万账户和 410 万联系人,包括了用户 ID、手机号、明文密码、身份证、邮箱、问题答案等等。价格很低,只需要价值 20 美元的比特币。 此外,发布者公布了 50 名...

网传 12306 泄露用户数据

12 月 28 日,有人在暗网发帖叫卖 12306 网站用户数据,数据包含了 60 万账户和 410 万联系人,包括了用户 ID、手机号、明文密码、身份证、邮箱、问题答案等等。价格很低,只需要价值 20 美元的比特币。

此外,发布者公布了 50 名旅客信息,供买家查询验证。

2804adda960d7730.jpg

疑似被泄露的 12306 用户数据:

6d36100304c8bb78.jpg

12306 官方回应,第三方泄露

28 日下午,中国铁路总公司官方微博发布信息称,网传信息不实,铁路12306网站未发生用户信息泄漏。提醒广大旅客通过铁路 12306 官方渠道购票,避免非正常渠道购票带来的风险。

948ba8ed220945c5.jpg

28 日傍晚,新京报记者致电 12306 官方客服,其表示网传账号密码等信息为旅客登录第三方平台(非官方购票平台)时泄漏,建议信息被泄漏的旅客及时更改账号、密码,通过官方平台购票。

a7856433d072d2a0.jpg

总结划一下重点

1. 叫卖帖所涉及的 12306 用户信息,经网友和记者测试应属实;

2. 12306 官方回应是这些信息是第三方泄露的;

3. 被泄露的信息中,有明文密码,还有相应的密保问题及答案;(引出一个问题:为啥第三方渠道会有密保问题和答案)

IT 技术圈的讨论

第三方抢票软件,是需要用户自己填写用户名和密码的,是否要密保问题及答案,我不清楚。我以前一直是在 12306 官网买火车票的,没用过第三方抢票,所以在微博问了一下:

59b618ad22e29204.png

根据用过的网友回复:第三方抢票软件不需要密保

9ac52d0d1f981964.jpg

另外一位网友 black cat 提到的一种可信性:

一旦其他人拿到用户名和密码后,Ta 就能登录 12306,把包括密保问题及答案的所有信息拿走。

@殷迦南:

说一下自己的想法: 1、12306明文密码可能性为0,不可能泄漏明文密码 2、有密保信息的很可能是前几年泄漏的就数据 3、12306如果真泄漏,就不会只是这么一点点 4、第三方泄漏以及被撞库的可能性较大  所以基本还是站12306的!

安全圈大佬 @余弦:

据悉,本次疑似 12306 泄露的库,QQ 邮箱占比 74.1%,网易邮箱占比 21.2%,毫无悬念的占比。基本定论是第三方抢票类软件的泄露,而非 12306 自己的泄露。

第三方安全,有的时候,真不是自己可以控制的…

fd72f9d2ef58826e.jpg

安全圈大佬 @tombkeeper:

那个号称卖 12306 数据的,发布信息时用了新浪的图床。然而新浪图床的 URL 中其实隐含了用户 UID 信息。所以可以根据图片 URL 找到发布图片所用的账号。不过看那个微博内容不太像干黑产的,也许是账号被盗用了。卖库的人手上有很多微博账号也并不奇怪。

从新浪图床 URL 获得发布者微博地址的代码网上有很多例子,这是我见过的最简洁的一个实现,短短十几行处理了两种情况:

4c2b89e9047b410f.jpg

还有网友提到:12306 应该拦截异地登录,以免信息进一步泄露。

d1da46006c63622c.png

此次 12306 事件,无论真假,但保险起见,建议大家:

1. 请尽快修改密码;
2. 及时修改跟 12306 同密码的相关网站密码,防止被撞库造成二次伤害;
3. 开通手机短信认证提醒,避免被别人撞库
4. 通过你信任的渠道购票;

 

 

转载请注明:老余博客 » 12306 用户信息被叫卖,官方回应为第三方泄漏

读后有收获可以请作者喝咖啡:

喜欢 (2)or分享 (0)
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址