臨近春運，12306網(wǎng)站又遇上了麻煩。昨日下午，很多網(wǎng)站的彈窗把我們嚇得不輕：火速改密碼！12306現(xiàn)用戶數(shù)據(jù)泄漏高危漏洞。這條安全警示的信息源來自于第三方漏洞報告平臺烏云。據(jù)其發(fā)布的一則漏洞報告稱，大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)遭瘋傳，包括用戶賬號、明文密碼、身份證郵箱等。隨后，12306官網(wǎng)對此回應(yīng)，網(wǎng)上泄漏的用戶信息系經(jīng)其他網(wǎng)站或渠道流出，并非12306網(wǎng)站。

　　對此，昨日成都商報記者采訪了多名安全機構(gòu)專家，初步確認(rèn)該事件為“撞庫攻擊”導(dǎo)致，12306網(wǎng)站自身漏洞、第三方搶票平臺也可能成為泄漏途徑。

　　12月25日

　　漏洞報告平臺烏云發(fā)布漏洞報告稱，大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)瘋傳

　　瑞星推測

　　泄漏可能路徑有三：

　　第一是12306自身出現(xiàn)問題；

　　其次是第三方搶票軟件或插件出現(xiàn)信息漏洞；

　　最大的可能性是黑客用“撞庫”的方式獲取這部分用戶信息

　　撞庫攻擊

　　簡單來說，就是拿其他地方泄漏的用戶名和密碼來這里試，如果用戶名和密碼都一樣，就撞開了。

　　12306：用戶數(shù)據(jù)經(jīng)其他渠道流出

　　據(jù)該漏洞作者，名為“追尋的白帽子”披露，這批12306數(shù)據(jù)先是在網(wǎng)上售賣，目前已變成公開傳播。記者從12306官網(wǎng)獲悉，針對互聯(lián)網(wǎng)上出現(xiàn)“12306網(wǎng)站用戶信息在互聯(lián)網(wǎng)上瘋傳”的報道，經(jīng)該網(wǎng)站認(rèn)真核查，此泄露信息全部含有用戶的明文密碼，而該網(wǎng)站數(shù)據(jù)庫所有用戶密碼均為多次加密的非明文轉(zhuǎn)換碼，網(wǎng)上泄漏的用戶信息系經(jīng)其他網(wǎng)站或渠道流出。目前，公安機關(guān)已經(jīng)介入調(diào)查。

　　記者了解到，所謂明文密碼，即信息里將清晰顯示用戶的賬戶密碼、姓名、身份證號，那么黑客完全可以操縱你的12306賬號進行買票、退票等操作。正常情況下，注重安全的網(wǎng)站都不會使用明文密碼。

　　據(jù)悉，此前12306已多次被曝出漏洞。早在今年1月份，有網(wǎng)友曝料稱，12306訂票網(wǎng)站可以利用假護照、假身份證完成訂票。此后，又曝出利用漏洞選上下鋪的攻略在網(wǎng)上轉(zhuǎn)發(fā)。今年7月15日，烏云又曝出12306購票軟件存在漏洞，一人可購買一車廂的全部車票。

　　知道創(chuàng)宇：黑客發(fā)動“撞庫攻擊”

　　截至昨日，國內(nèi)安全機構(gòu)知道創(chuàng)宇確認(rèn)12306數(shù)據(jù)泄漏事件為“撞庫攻擊”。

　　知道創(chuàng)宇技術(shù)副總裁余弦告訴成都商報記者，所謂撞庫攻擊，簡單來說，就是拿其他地方泄漏的用戶名和密碼來這里試，如果用戶名和密碼都一樣，就撞開了。知道創(chuàng)宇是目前唯一一家披露了驗證過程和邏輯的安全機構(gòu)。

　　事件發(fā)生后，知道創(chuàng)宇獲取到了該文中提到的樣本數(shù)據(jù)，文件共計131653條記錄、文件大小14兆(Mb)。據(jù)記者了解，知道創(chuàng)宇安全研究團隊針對該批數(shù)據(jù)進行了調(diào)查，他們隨機抽取了一批賬號均成功登錄12306，證明了該批數(shù)據(jù)是真實的；隨機聯(lián)系了該批數(shù)據(jù)中的多個QQ用戶，均反饋沒有使用過搶票軟件且近期沒有購票行為。

　　調(diào)查后，知道創(chuàng)宇安全研究團隊獲得如下結(jié)論：該批131653條的12306網(wǎng)站用戶數(shù)據(jù)是真實的。他們通過與已有泄漏信息庫的對比，得出了這次被泄漏信息并非新泄漏，該批數(shù)據(jù)基本確認(rèn)為黑客通過“撞庫攻擊”所獲得。

　　瑞星：12306子網(wǎng)站發(fā)現(xiàn)漏洞

　　根據(jù)瑞星互聯(lián)網(wǎng)攻防實驗室研究，推測出信息泄漏可能路徑有三：第一是12306自身出現(xiàn)問題；其次是第三方搶票軟件或插件出現(xiàn)信息漏洞；最大的可能性是黑客用“撞庫”的方式獲取這部分用戶信息。

　　專家介紹，第三方平臺為了讓購票更迅捷，運行時可能省去了一些步驟，安全性難以保障。此前，CSDN、攜程、天涯、當(dāng)當(dāng)?shù)榷荚�被黑客攻破，�?dǎo)致用戶信息泄漏。

　　值得一提的是，瑞星高級工程師唐威表示，瑞星在對12306網(wǎng)站安全監(jiān)測時發(fā)現(xiàn)，12306主站下屬包括南方貨物快運服務(wù)站、東北貨物快運服務(wù)站等6個子網(wǎng)站發(fā)現(xiàn)了Struts2漏洞，利用該漏洞入侵者可以獲取子網(wǎng)站管理員權(quán)限，并可以通過惡意代碼控制子網(wǎng)站服務(wù)器對主站進行跳板入侵獲取信息。

　　“可以肯定的是漏洞存在，控制子網(wǎng)服務(wù)器入侵主網(wǎng)站也是黑客管用手段，理想狀態(tài)下可以通過該漏洞取得用戶信息，但是因權(quán)限不允許測試，瑞星也不能確定這是信息泄密的路徑�！�

　　安全提醒：注冊郵箱和網(wǎng)站密碼最好不同

　　針對目前狀況，獵豹移動安全專家則建議用戶，立刻修改12306登錄密碼，盡快修改登錄12306時使用的郵箱密碼，郵箱服務(wù)和12306網(wǎng)站服務(wù)一定不要使用相同的登錄密碼。由于12306數(shù)據(jù)泄漏的數(shù)據(jù)還包含手機號、身份證號，除了自己的信息之外，還會泄漏親友的身份信息。建議受信息泄漏影響的所有人小心處理可能的詐騙電話和短信。同時，與銀行轉(zhuǎn)賬匯款有關(guān)的業(yè)務(wù)，務(wù)必電話確認(rèn)身份。

　　此外，據(jù)天下無賊-反信息詐騙聯(lián)盟統(tǒng)計，目前90%以上的電信詐騙源頭都是“個人信息泄漏”，詐騙招數(shù)五花八門，當(dāng)遇到公檢法、航班改簽、網(wǎng)購?fù)丝睢⑹謾C積分等短信、電話時千萬當(dāng)心，絕大多數(shù)都是詐騙。