技术专家称超13万用户数据被泄露,信息在黑客群体中流传和买卖
本报记者 詹丽华
昨天,乌云漏洞平台上又爆出大消息。“快过年了,刚才看到12306(铁路订票官网)的数据在传播,竟然连我自己的敏感数据都有。”早上11点左右,白帽子“追寻”发帖称,发现“大量12306用户数据在互联网疯传,包括用户账号、明文密码、身份证邮箱等(泄漏途径目前未知)”,“数据只是在传播售卖,目前无法确认是12306官方还是第三方抢票平台泄漏,希望官方立即介入调查并且通知已泄密用户修改密码!”
“大量”是多少呢?白帽子中流传的版本是18G(容量),涉及超过13万用户的账号和身份信息等敏感内容。随后,此漏洞细节同时通知了 12306网站和国家互联网应急中心处理。这也一时之间让众多在12306上注册购票过的人心头一惊,自己的账号还安全吗?目前,公安机关已经对此进行调查。
其实,信息泄露事情的经过并不复杂,问题在于这些信息到底是怎么泄露的?消费者应该怎么办?
专家分析做出推测:隐私或为“撞库”所得
“我们已经验证了这条消息的准确性,也获取了文中提到的样本数据。”知道创宇技术副总裁余弦昨天告诉钱江晚报记者,截至白帽子发布漏洞帖时,这批被泄露的信息还没有在网上公开传播,暂时只在一些黑客群体中进行流传和买卖。
余弦拿到了黑客兜售信息时抛出的“诱饵”——一份样本数据,共计131653条记录、文件大小为14M,而这只是冰山一角。“据说这批数据的完整版共有18G,但目前为止还没有人见过全部数据。”
坏消息是,黑客手里掌握的这批数据可能绝大部分是真实的。“拿到数据以后我们的安全研究团队随机抽取了一批账号(约50个)并进行测试,结果均成功登录12306,基本可以推断至少目前已知的这131653条的用户数据是真实的。”不过余弦认为,这批数据或许并非因12306的漏洞而泄露,“我们搜索以往互联网上的数据进行了匹配,从17173.com、7k7k.com、uuu9.com等网站泄露流传的数据中搜索到了该批131653条用户数据,基本可以确认该批数据全部是黑客通过撞库获得。”
提到“撞库”,就不能不先解释“拖库”和“洗库”。在黑客术语里面,“拖库”是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。最后黑客将已经得到的数据 (如用户名和密码信息)在其它网站上进行尝试登录,叫做“撞库”,因为很多用户喜欢使用统一的用户名和密码,“撞库”也常常让黑客收获颇丰。
12306公告称“错不在我” 受害人表示从未用过抢票软件
事实上,对于这批12306用户信息泄露事件,业界初步推测数据来源的可能性有三种:黑客直接攻击网站,盗走用户的资料数据库,即“拖库”;散播刷票软件等木马程序;利用现有用户数据进行“撞库攻击”。相比之下,从安全专家们的技术分析来看,第三种的可能性最大。
但12306方面显然不这么认为。在漏洞提交两三个小时之后,中国铁路客户服务中心发布了公告,称经过认真核查:“此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。”
在撇清自身关系的同时,中国铁路客户服务中心将矛头对准了第三方抢票软件,发布了两条购票提醒:一是,“通过官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止您的个人身份信息外泄”;二是,“部分第三方网站开发的抢票神器中,有捆绑式销售保险功能”,请购票者注意。
12306的解释似乎并没有获得网友们的太多认同。“我从来没用过抢票软件,而且已经几个月没有通过12306买火车票了,居然也在采样(黑客出具的数据样本)里看到了自己的信息,这怎么解释呢?”做安全技术的“侠客”说,虽然他已经第一时间改掉了密码,但泄露的信息里还有手机号和身份证号,这两个号码可不像密码那样说改就能改的。
安全专家建议:12306用户赶紧修改密码
虽然,12306方面把板子打在第三方抢票软件身上,但一向“傲娇”的软件厂商,这次居然默默地受了。第三方抢票软件厂商360、猎豹等也纷纷发声,此事与自己无关,并提醒12306用户注意修改密码,避免已经订到的火车票被恶意退票。如有其他重要账号使用了与12306网站相同的注册邮箱和密码,应一并修改,以策安全。
360安全专家表示,常用邮箱、网上支付等重要账号,一定要单独设置高强度密码,并定期对密码进行修改。