来源:中国青年报(zqbcyol )、IT时报(vittimes)、CSDN(CSDNnews)
春运即将开启,很多人每天最关心的事情大概是紧盯 12306 抢回家票。不过,昨天有网友爆料,在暗网有人出售60万个12306账号和410万条联系人数据。
被挂出来售卖的,不仅有用户的姓名和电话,还有身份证、和注册时设置的问题以及问题的答案。
记者随即在暗网交易市场上找到了这条帖子,并拿到了这位“卖家”开放的部分测试数据包。
出售的帖子
实测:部分账号密码可登录
在暗网中,卖家自称手中掌握了账号表和联系人两个Excel 表格。其中账号表包含的数据有ID、手机号、用户名、明文密码、姓名、身份证号、邮箱、问题及其答案,另一张表格则含有账号姓名和身份证。
为了吸引人注意,该卖家还公布了上述两个表格的部分截图,披露了50个用户的账号信息,及两名用户的常用联系人。另有一张截图显示有人已登录某个 12306账号,页面出现了9个常用联系人的姓名、身份证、部分手机号和旅客类型。
记者随机拨打了部分被公开的电话,有4人确认了账号、密码、身份证号的真实性。不过也有部分号码是空号或者错误号码,接听机主的姓名、账号、身份证号等信息与被披露的信息并不一致。
售卖的数据包
敏感信息一览无余
在测试过程中,记者发现,通过泄露的数据包登录12306网站后,可以看到用户更多相关信息,包括这位用户的历史购票记录,经常来往的城市,就读学校的名称、专业以及年级等详细信息。与此同时,不仅限于这位用户自身,其名下的多位常用联系人的详细信息,同样包括身份证、手机号、经常来往的城市,以及学校信息也都一并被泄露。
测试一条数据,显示登录成功
例如,其中一位被泄露信息人的身份是学生,除了他的手机号、身份证、登录密码等信息外,通过历史购票记录可以了解,他经常来往于安徽与福州两地,并且目前就读于安徽某财经院校。此外,他的相关联系人中有很大部分是他的同学,这些同学的相关数据也遭到了泄露。在12306的数据类别中,包括的地址、出生年月等信息也都一并会遭到泄露。
好在,12306不具备“余额支付”功能,因此,通过这次泄露的数据包,能做到查看数据,还不涉及火车票的购买和资金账户的安全。
60万数据,仅售20美元?
在暗网上,这份自称包含了60万12306账号以及410万常用联系人的数据包售价是20美元,格式为EXCEL表格,如果需要转为数据库格式则需要另加5美元。可见这位卖家“熟稔此道”。截止昨晚8点,这个数据包已完成3笔交易。
交易次数为3次
对此,“中国铁路”官方微博发布消息回应此事称,网传信息不实,铁路12306网站未发生用户信息泄露。
网易云安全(易盾)首席架构师沈明星表示,由于12306数据量远远大于400万,所以推断可能是第三方泄露的,比如一些抢票软件。而要保护安全,就得尽快修改12306密码,如果这个密码在其他网站使用,比如微博、支付宝等,也要一并修改。此外,不要把账号密码托管给其他三方软件平台,账号尽量开启二次验证机制。
用户信息一般都是怎么被泄露的呢?
1. 安全维护不及时
平台为了节约成本等原因,使用相似的源代码进行更改,以至于网站的数据管理模式落后、或存在缺陷。
在这些使用相同源代码的网站中,只要有一个网站被爆出系统漏洞,作案者就可利用该系统漏洞,来获取到其他网站的相关数据。
2. 黑客进行撞库
通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。
很多用户在不同网站,使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户,从而尝试登录B网址,这就可以理解为撞库攻击。
而不少用户隐私意识和数据安全意识不够强,总爱使用同一组用户名和密码,这些数据在一个网站被泄漏后,不法分子便可以通过这些公开的数据,对另一个网站上的数据进行撞库,借此很容易就能获取大量隐私数据。
3. 人为倒卖
服务商们为了针对用户做定制化服务,往往需要在 APP、软件、网站服务的各个环节,获取用户的个人信息。这些数据信息经公司内部人员收集之后倒卖出去,比如支付宝 2013年的用户信息泄密,就是由支付宝的技术员工,下载用户信息之后再倒卖的。
我们该如何保护个人信息?
对大多数普通用户来说,并没有能力去制止网站的泄密行为,但在我们的能力范围内,可以采取以下办法,来降低风险:
1. 手机设置密码有讲究
现在的智能手机很多都标配了指纹识别,解锁还是很方便的(图形密码太简单,容易被陌生人瞄到)。
2. 重要网站、App 的密码要独立设置
不要设置简单的数字和单词密码,Password或者123456这种密码,是最容易被黑客破解。与其信任你的记忆,不如信任一个复杂组合密码。
3. 不要在连接公共无线网络时登录账号
连公共WiFi时,账号隐私(如 Cookies)会存在被监听盗取的可能性。这时有个技巧:用浏览器的隐身模式上网即可。
4. 设置二次验证
不管是邮箱还是社交账号都能够绑定手机号进行二次验证,比如我们最常用的 QQ、微信。这样即便服务商出现漏洞,黑客也无法通过获取的账户信息登录你的账号。
最后,年关了,希望大家都不要遇到这样的糟心事,该买票还是要买票,过年可是大事!
➡公开道歉!泛联房产法人代表承认挪用客户资金,保证将一分不少返还
➡忍住 | 再过几小时,油价第五跌来了!近两个月,一箱油累积降价75元!
走过路过,别忘了点个赞👍小新的工资嗖~嗖~嗖~涨5毛