今日上午,漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告,危害等级为“高”,漏洞类型则是“用户资料大量泄漏”,这意味着将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露。
据专家解释,此次用户信息泄露有多种可能,第一可能是12306被入侵,数据被盗;第二,可能是第三方抢票软件存储了12306的数据,被黑客入侵后被盗;第三,黑客通过其他已泄露的邮箱数据库,进行撞库攻击(就是用相同的用户名密码去尝试登录12306网站)。
据悉,经12306官方网站认真核查,此泄露信息全部含有用户的明文密码。而12306官方表示网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息可能经其他渠道流出。
所谓明文密码泄露,即泄露信息里将清晰显示用户的账户密码、姓名、身份证号,那么黑客完全可以操纵你的12306账号进行买票、退票等操作。
正常情况下,注重安全的网站都不会使用明文密码。因此,有关专家怀疑这次泄露的13万条记录,极可能是黑客通过其他数据库撞库整理出来的。
对此,猎豹移动安全专家建议用户采取以下措施尽可能避免安全隐患:
1、立刻修改12306登录密码。
2、尽快修改登录12306时使用的邮箱密码,邮箱服务和12306网站服务一定不要使用相同的登录密码。
3、由于12306数据泄露的数据还包含手机号、身份证号,除了自己的信息之外,还会泄露亲友的身份信息。建议受信息泄露影响的所有人小心处理可能的诈骗电话和短信。同时,与银行转帐汇款有关的业务,务必电话确认身份。
