12月26日消息,12306網站用戶信息泄露,包括13萬用戶的帳號、明文密碼、身份證、郵箱、手機號碼等。25日晚,涉嫌12306網站泄密的兩名犯罪嫌疑人被抓,公安機關證實黑客采用撞庫方式非法獲取用戶數據。360手機安全專家提醒,手機號和身份證號碼的泄露很可能招致騷擾及電信詐騙,而賬號密碼被黑客掌握則會威脅其他網站登陸甚至支付安全,建議網民不要輕信詐騙電話,并及時修改所有于12306相同密碼。
圖:12306網站用戶信息遭泄露
據安全技術人員分析,12306被撞庫,很可能是其手機APP漏洞導致。360補天漏洞平臺發現12306手機APP登陸接口可被黑客惡意利用,無限次嘗試撞庫破解。360已第一時間將此漏洞通報12306進行修復。
此次12306信息外泄,幾乎13萬條賬號密碼都可以從此前多家游戲網站泄露的密碼庫中匹配到相應數據,極有可能是黑客用掌握的賬號密碼對12306發動撞庫攻擊。而在對12306泄露數據中的用戶進行抽樣調查時,發現超過半數沒有使用過任何搶票軟件,因此搶票軟件并不是此次用戶賬號密碼泄露的渠道。
雖然犯罪嫌疑人已經被抓,但因信息泄露造成的危害卻已經顯現。已經有網友反映遭遇惡意退票,是否為黃牛購得信息操作尚不可知。另一方面,有不法分子借“12306完整數據庫”等名目在網絡中散播木馬病毒,網友一旦誤點則相當危險。另外,由于賬號密碼的共同性,其他網站賬號以及支付類賬號同樣很可能遭到攻擊,造成網友隱私的進一步泄露和潛在的經濟損失風險。
360手機安全專家指出,手機號碼的泄露后必然會帶來電信騷擾、詐騙的盛行。而手機號碼也是各類移動支付軟件的常用賬號,如使用密碼與12306一致,就很可能造成經濟損失。身份證信息泄露則更為兇險,黑客可利用身份證補辦手機卡,通過支付驗證短信盜取支付賬號內的錢款。
360手機安全專家對手機用戶提出以下建議:
第一,要及時修改密碼,其他與12306及用手機號作為賬號的網站和軟件也應一并修改。此外定期變更密碼,不要使用統一密碼也可有效降低中招幾率。
第二,在未來一段時間內,是因信息泄露產生的詐騙電話高發期,接到與銀行轉帳匯款有關的業務電話時,務必確認對方身份,并使用360手機衛士等安全軟件識別并攔截詐騙電話。
第三,手機用戶在12306訂票APP時,一定要通過官方網站或360手機助手下載,以免安裝不安全的購票軟件,再次遭遇泄密事件。
(新聞稿 2014-12-26)