廊坊信息港

当前位置: 首页 >金融

12306信息泄露疑似撞库漏洞为何没有及

来源: 作者: 2019-05-14 23:44:24

这不是12306站次发生用户信息泄露事件了,但是的一次。

12306官方站当日公告称,经认真核对,此泄露信息全部含有用户的明文密码。12306站数据库所有用户密码均为屡次加密的非明文转换码,上泄露的用户信息系经其他站或渠道流出。目前,公安机关已经介入调查。

12月25日上午10:59,乌云发布漏洞报告称,大量12306用户数据在络上疯狂传播。

而此时,正是春运购票的关键时刻,12306站每天的访问量都很惊人。

乌云创始人邬迪告诉21世纪经济报导,这是乌云历史上,次如此大规模的铁路用户数据泄漏。

据了解,本次泄露事件被泄露的数据达131653 条,包括用户账号、明文密码、身份证和邮箱等多种信息。

乌云是一家专注于互联安全漏洞报告的平台。邬迪介绍称,乌云每天都会对各项数据进行监测,12306事件只是今天的一项内容。但此前,他们也曾报告过12306站泄露用户信息的情况。

对这次用户信息泄露事件,络议论热烈。有友担心,这些泄露的信息是不是包含购票过程使用的银行卡等信息等。专业人士建议,如果用户在其他站也使用了12306站一样的用户名和密码,应当修改密码。

多位接受21世纪经济报导采访的安全专家对此事件分析认为,这次极可能是黑客撞库行为造成的,而非12306站直接泄漏,但同样说明12306站仍存在安全漏洞。不过,也有一些专家认为事件原因仍不明。

对于此事件的影响,中国政法大学传播法研究中心研究员朱巍分析称,如果12306是出于过失致使信息泄露,司法实践中会采取错误推定原则确定侵权,即先推定12306存在过错,然后由12306举证,证明自己尽到了安保,朱巍说。

泄露缘由何在?

乌云创始人邬迪告诉21世纪经济报道,12月25日上午10:59,在事件发生后,乌云立刻进行了核对,在确认该消息的真实可靠性后对此事进行了发布。

不久后12306就在时间知道了此消息,并与乌云取得联系,表示会认真调查此事,并在往后发布公告。

下午14:15,乌云通过新浪微博发布了消息称,数据疑似黑客撞库后整理得到,而并不是12306直接泄漏,请用户及时修改密码同时慎用抢票工具。

邬迪也对21世纪经济报道称,所谓撞库就是黑客通过收集络上已泄露的用户名及密码信息,生成对应的字典表,到其他站尝试批量登录,得到一批可以登录的用户账号及密码。

登录用户的后台后,可能存在邮箱、号码、身份证号码被泄露、账务积分和账户余额流失等多种风险。

如果用户及时修改原始密码就可以规避撞库风险。邬迪说,但这并不等于自己的信息就完全安全了。

邬迪告知,除了撞库,还有另一种方式叫做拖库。黑客通过技术直接下载某平台的全部数据库。但本次12306泄露可以排除拖库的可能性。

在业内人士看来,拖库是指入侵有价值的络站点,把数据库全部盗走的行为。盗取数据后,黑客会通过一系列的技术手段清洗数据,并在黑市上将有价值的用户数据变现交易,此为洗库。黑客将得到的数据在其它站上进行尝试登陆,叫做撞库。

浪潮电子信息安全事业部副总经理蔡一兵对21世纪经济报道称,在互联的黑市里有一个非常成熟的产业链,有一个非常成熟的构成利益进程:拖库、洗库和撞库。

针对此次泄漏事件的原因,360互联安全中心的安全研究人员非常肯定地以书面方式回答21世纪经济报道经济的采访函时表示,此次12306站信息泄漏是被黑客撞库造成的。

其理由是,经过他们安全研究人员的调查发现,、几乎所有13万条12306账号密码,都可以在此前多家游戏站泄漏的密码库中匹配到相应的记录。说明黑客用多家游戏站的密码库对12306发动撞库攻击,筛选出13万余条使用相同账号密码的用户数据。第二,通过对12306泄露数据中的相关用户进行抽样调查,超过半数没有使用任何抢票软件,其余则是使用不同的抢票软件。

在今天的泄露事件发生后,上曾流传称,有18G的完全12306数据库被泄漏,但是目前并没有人在上找到过这个数据库。

泄露事件发生后,12306发布公告称上泄露的用户信息系经其他站或渠道流出,缘由是12306站使用的是多次加密的密码,而泄露的是明文密码。分析人士称,这也从另一个侧面说明,这些密码可能不是从12306站泄露出去的。

据乌云官发布的消息称,漏洞已交由第三方厂商国家互联应急中心处理。12月25日,国家互联应急中心人士对21世纪经济报道表示:事件正在调查当中,结果以官发布为准。

一位络安全研究人员对21世纪经济报导称,12306站时间知道这个事情的,并发布了公告,但是几个小时过去了,那些用户名和密码还可以登录,并可能被用于更改他人密码、找到他人的号码,甚至帮人家退票,他们为何不紧急通过技术手段,短信通知用户,将泄漏的用户密码强迫更改或提示客户更改?

为什么会有这么大的漏洞?

不过,邬迪称,此事目前还没法下定论。

在12306站在发布上述提示公告时,还特别提醒旅客不要使用第三方抢票软件购票。这使得外界怀疑,此次泄露事件由第三方抢票软件而起。

一名长期研究刷票软件的人员告诉21世纪经济报导,目前抢票软件发展速度极快,但其实不存在十分清晰的盈利模式,因此从第三方软件中泄漏数据的可能性也依然存在。

一位从事软件程序开发的技术人员告知21世纪经济报导,这类抢票软件的技术要求一般不高,如果第三方没有严格的保护措施,用户信息就存在不安全的隐患。

对于此,360公司相关人员书面回应称,360抢票王基于360安全浏览器,360安全浏览器的上安全技术和措施都可以保障抢票王的安全。他们认为,此次12306数据泄漏事件与抢票软件无关。

互联安全专家更关心的是,如果真是撞库造成的泄露,12306站为什么会留下这么大的漏洞?

如果这次撞库产生在Google、微软身上,不可能成功。由于成熟的站都会在登陆服务器时设置二次验证程序。国内很多站为了节省成本,并没有设置这一道程序。 猎豹移动安全专家李铁军对21世纪经济报导说。但是,目前并不清楚,此次漏洞是否与验证程序设置有关。

据一位对乌云比较了解的专业人士称,12306站从2012年2月开始,在乌云上被表露的漏洞接近50个,其中触及用户资料泄漏和敏感信息泄露的漏洞占7%,而还有44%的漏洞可间接致使信息泄漏,例如命令履行漏洞和SQL注射漏洞。

而这些被监测到的漏洞都延续了很长时间。这位专业人士称,他们也不明白为什么这些漏洞一直没有被补救。

360安全专家安扬也认为,12306站被撞库,说明12306账号安全体系仍需要进一步完善,尽可能及时发现并阻断黑客撞库攻击。

据21世纪经济报道此前的报道, 12306站由铁科院开发,铁科院是原铁道部下属的单位。

一名从事高铁安全行业的人士对21世纪经济报导称,其实早在之前,铁科院内部已经发现这1问题,但至今尚未完全解决,直到如今东窗事发。

黑色产业链

安扬对21世纪经济报道介绍,目前在互联上公然流传的用户数据很多,仅2012年CSDN、天涯的泄漏数据就超过2亿条,今年还出现了携程、如家、铛铛的泄漏事件。

另据知道创宇旗下的络空间搜索引擎ZoomEye统计,中国目前至少有13000台服务器存在破壳漏洞,全球大概有140000台主机存在风险。

知道创宇技术副总裁钟晨鸣称,近三四年,国内持续泄露的互联数据,国内总量级达到50亿条用户账户信息。 知道创宇是全球知名的互联安全公司,其开创团队在互联安全领域服务了十多年,不久前还承担了APEC期间平台络安全工作。

另外,腾讯管家安全专家陆兆华对21世纪经济报导表示,在互联黑色产业链内部,成员还存在数据库共享的机制,非常容易就获取到不同平台被成功拖库的信息,而用户的敏感信息比如身份证信息、号码、常用密码都是相对不变的,一旦泄漏就会给用户造成持续的影响。

在此事件的产生上一周,由国家信息安全漏洞共享平台发布的信息安全漏洞周报显示,2014 年 12 月 15 日至2014 年 12 月 21 日,国家信息安全漏洞共享平台(以下简称 CNVD)本周共搜集、整理信息安全漏洞 144 个。上述漏洞中,可利用来实行远程攻击的漏洞有 128 个。截至报告发布时间,已有 119 个漏洞由厂商提供了修补方案。

猎豹移动安全专家李铁军指出,中国的互联化进程非常快,很多传统行业,比如政府、医疗、航空、保险等等,都采用信息化开发业务。但是,这些企业的安全意识转变并没有跟上,企业的安全管理、安全人材储备不足,很容易被攻击,造成信息泄漏。所以,有的客户刚刚订了机票,就收到机票相干的诈骗、短信。

北京银库副总裁杜占源对21世纪经济报导表示,对绝大多数的数据泄漏来说是因为站自身存在安全漏洞引发的。目前很多非金融类的站也进行实名制,但这些站未必采取了很好的安全措施,一旦这类站存在漏洞,用户身份证的关键信息必然泄露。

据央行制定的《银行卡收单业务管理办法》规定,收单单位不得以任何形式储存银行卡的敏感信息,但一些站往往突破此规定。在携程漏洞门事件中,携程坚持没有过度搜集用户信息,其理由是:未扣款成功的CVV码信息会被暂存7天,目的是协助用户便捷支付。

12306泄露事件产生至今,尚未暴出泄漏的个人信息中包括用户购票的银行卡信息。

泄露事件同样引起了对络实名制的讨论。韩国络实名制半途而废的原因,就是没法解决大规模个人信息泄露问题,中国政法大学传播法研究中心研究员朱巍说。他建议,我国络实名制实行过程中,可以斟酌规定商业站无权保管个人核心信息,转由安保等级更高的公安部平台管理。

侵权如何划分?

2012年12月28日,全国人大常委会通过《关于加强络信息保护的决定》后,络个人信息保护有了法律依据。今年3月15日施行的新《消费者权益保护法》也增加了保护消费者个人信息的规定。

的司法根据是10月9日,法院公布的《关于审理利用信息络侵害人身权益民事纠纷案件适用法律若干问题的规定》,其中首次罗列了个人隐私的范围。

泄露个人信息者一定要承当相应的侵权,问题是谁来承当,朱巍告诉。

如果是12306泄露,要区分为故意泄漏还是过失泄露,故意泄露毫无疑问要承担侵权,朱巍说,在国外,故意泄漏还可以区分为出于商业目的还是非商业目的,如果是商业目的要加大处分力度,但国内司法没有这样的辨别。

如果12306是出于过失致使信息泄漏,司法实践中会采取过错推定原则肯定侵权,即先推定12306存在过错,然后由12306举证,证明自己尽到了安保,朱巍说。

朱巍认为,如果存在12306作为开放平台,通过开放端口与第三方平台进行授权合作的情况,即便信息是经第三方泄露,12306也应承担连带。

这几近是整个互联产业的通病,比如用户注册了一家互联服务,结果发现自己的信息被授权给了这家站的合作方,朱巍说。

他认为,哪怕用户在注册互联服务时,对方已经提醒其个人信息可以授权转让给合作方,这也不能成为用户信息泄露时其免责的理由,由于这是格式合同,用户如果拒绝就不能完成注册,朱巍说。

只不过,承担连带的站,可以按照和第三方站的内部划分约定,向直接泄漏信息的第三方追偿。

一种情况是12306根本不知情,信息泄露源于不可抗力,但12306也要证明自己尽到了安保义务,朱巍说。

本报 吴燕雨 陈宝亮 王峰 杨志锦 孙春芳 申剑丽 北京报道

治疗盆腔炎吃什么药
治盆腔炎用什么方法
治疗盆腔炎方法

相关推荐