昨日(12月25日)上午,据乌云漏洞平台曝料,大量中国铁路客服中心12306用户数据在互联网上被疯传贩售,泄露资料包括用户账号、明文密码、身份证、邮箱等敏感信息,目前尚不清楚这些数据是从何途径泄露的。
据该漏洞曝料者、名为“追寻”的白帽子披露,这批12306数据先是在网上售卖,目前已变成公开传播。对此,中国铁路客户服务中心回应称,“经我网站认证审核,网上泄露的用户信息系经其他网站或渠道流出”,并提醒勿用抢票软件。目前,公安机关已经介入调查。
《每日经济新闻》记者从瑞星互联网攻防实验室获悉,目前已经获得该文件完整信息,14MB(兆)大小的文件中,泄露信息约有131653条,且用户信息100%真实有效。同时,瑞星披露,在对12306网站安全监测时,发现6个子网站存在Struts2远程监控漏洞,利用子网站入侵主站是一种惯用手段,但因权限问题不能确认泄密路径。
13万条真实信息遭泄露 记者从乌云平台获悉,这则关于12306网点的漏洞报告,危害等级显示为“高”,漏洞类型则是“用户资料大量泄漏”。报告描述在互联网上疯传的信息,包括用户账号、姓名、明文密码、身份证号码以及邮箱等。泄漏途径未知,漏洞已经提交给了国家互联网应急中心进行处理。
据瑞星完整获取的遭到泄密的资料显示,在14MB大小、名为《12306邮箱-密码-姓名-身份证-手机(售后群31109xxxx).txt》的文件中,泄露信息有131653条,且用户信息100%真实有效。
瑞星高级工程师唐威向 《每日经济新闻》记者介绍,“13万条用户数据或许只是冰山一角,瑞星同时获取了另外一份疑似12306网站的泄露文件,目前正在检测,该文件大小为22GB(千兆)。如果信息确认是用户数据,初步推算泄密人数约为2亿,不排除有人利用泄露信息获利的可能。”不过,截至记者发稿时,这些文件信息尚未得到确认。
中国铁路总公司相关人士表示,12306网站为中国铁路总公司信息技术中心主管,铁总历年均强调旅客不要使用第三方抢票软件进行恶意刷票,但目前经12306网站所出车票有80%是通过抢票软件实现的,且该比例还在不断提升。
中国铁路客户服务中心也提醒旅客,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止个人身份信息外泄。部分第三方网站开发的抢票软件中,有捆绑式销售保险功能。
6个子网站存漏洞 根据瑞星互联网攻防实验室研究,信息泄露可能有三条路径:一是12306网站自身出现问题;二是第三方抢票软件或插件出现信息漏洞;三是黑客用“撞库”的方式获取这部分用户信息。
“撞库”是指黑客采用此前其他平台泄露的用户信息,用自动化程序在12306大量登录实验,有相同账号和密码成功登录即可获取更多用户信息。
“国内互联网公司大多出现过信息泄露事件,发生‘撞库’并不意外。”唐威表示,瑞星在对12306网站安全监测时发现,12306主网站下属包括南方货物快运服务站、东北货物快运服务站等6个子网站发现了Struts2漏洞,利用该漏洞入侵者可以获取子网站管理员权限,并可以通过恶意代码控制子网站服务器对主站进行跳板入侵获取信息。
唐威进一步表示,“可以肯定的是漏洞存在,控制子网服务器入侵主网站也是黑客惯用手段,理想状态下可以通过该漏洞取得用户信息,但是因权限不允许测试,瑞星也不能确定这是信息泄密的路径。”
2013年7月17日,乌云漏洞报告平台、SCANV网站安全中心等安全机构纷纷发出红色警报:Struts2再曝高危漏洞,该漏洞影响到Struts2.0-2.3.15版本,可直接导致服务器被远程控制,引起数据泄露。苹果、淘宝、京东、民生银行在内的多家公司及金融机构网站查出该漏洞。
彼时,国内网站安全服务商SCANV.COM确认,攻击者可以利用该漏洞,执行恶意Java代码,最终导致网站被完全入侵控制。
安全专家提示,12306网站数据泄露有可能出现衍生风险:邮箱被“撞库”,更多个人信息因此被盗,手机号、身份证号被泄露,甚至包含亲友信息。
据唐威介绍,泄露文件中大部分用户采用了QQ邮箱和163邮箱作为账号,如果购票明文密码与QQ一致,黑客同样可以采用“撞库”的方式登录QQ或者微信,容易造成更大损失,因此提醒12306用户尽快重设相关账户登录密码,保护信息安全。
(本网责编:陈宏)