日前,朋友圈被12306刷了,因为有微博用户表示,12306的40万用户登录信息在暗网上低价出售。
具体来说,两天前的中午,一位名叫“deepscorpions”的暗网用户发布了一条标题为“12306 - 泄露了大约 60W 帐户 + 其 410W 联系人 - 低价”的消息。
这些数据中涉及的个人信息不仅是隐私的,而且对我们很重要:ID、手机号、密码、姓名、身份证、电子邮件地址、问答等。此外,这些数据还包括添加到每个帐户的联系信息、姓名和 ID 号。
根据“行业规则”,为了让客户放心,用户还发布了50条测试信息。我试过其中的一些,它们都是真的......
但多年的经验告诉我们,我们不能轻易相信互联网上的东西。
仔细想想,不难发现这个数据存在明显的问题——早在2014年圣诞节,漏洞举报平台 Wuyun.com 就曝光了一份关于12306的漏洞报告,危害等级显示为“高”,当时12306泄露了3000万条信息,与这次的数据相比, 600,000 个帐户,410 万个联系人,但太少了......
那么,这次的数据从何而来?
通常只有三种可能的数据泄漏,如下所示:
一是平台本身的漏洞12306数据泄露是抢票软件,在源代码中发现漏洞,导致信息泄露。12306的技术水平其实并不像大家批评的那么难以忍受,甚至可以说基本属于顶级,这不太可能;
二是人为转售,如2013年支付宝用户信息泄露,被支付宝技术人员下载信息后转售;
第三个是我们经常提到的撞库,这是很有可能的。但是如果直接去打12306,通过机器人绕过该死的验证码,投入输出比显然不值得;
网易云安全(易盾)首席架构师沈兴在事发后接受了媒体采访,他在采访中表示:
由于 12306 的数据量远大于 400 万,因此推断它可能是由第三方泄露的,例如某些抢票软件。为了安全起见,12306密码必须尽快更改,如果这个密码在其他网站上使用,比如微博、支付宝等12306数据泄露是抢票软件,也必须一起修改。此外,请勿将账号密码委托给其他第三方软件平台,并尝试为账号启用双因素认证机制。
“第三方泄露”是指我们在第三方平台上输入12306的账号密码,因为它想让您不断登录,所以它存储了您账号密码的明文,同时,由于我们要填写购票信息,它也存储了您个人信息的副本。
当然,也有一种说法认为可能是QQ邮箱泄露,因为里面的大部分信息都是QQ邮箱。
但是,应该无法使用邮箱,因为通过邮箱,您无法获得安全问题的答案。所以这次QQ邮箱就不用怪了......
除了提醒大家注意网络安全,记得定期更改密码,不要随便连接公共Wi-Fi,设置多层验证,今天最想说的是,很多不明真相的媒体人以#12306泄密#...
这样的信息被不明真相的围观者看到,加上一些“专家”和“大佬”的分析,被用作内容素材,引起不必要的恐慌,影响可能比这次泄密还要严重。
“叔叔阿姨一代”的人对互联网本身有很多排斥和恐惧(否则他们不会那么容易被欺骗......也有很多对技术不太了解的白人,万一看到这样的消息就不敢用12306了,买票就好了,打着“安全、多重加密、永不泄露”的旗号,求助于那些第三方抢票软件,大家都会喊口号,但没人知道技术水平有多高,安全等级有多高。
因此,建议大家,哪怕真的很着急,也要尽量通过官方渠道购票,不要相信或选择一些来历不明的“小众”抢票软件,趁机宣传,这会导致你的身份信息因第三方平台的安全性而泄露的风险。
也希望各家媒体、各平台都能尊重自己的专业精神和职业道德,不要再发布一些骇人听闻、未经证实的新闻来吸引人们的注意力。
12306可能确实有很多问题,但作为一个服务全国人民的平台,相信他已经尽力了,做得足够好。就算别的平台吹花,也不过是王坡卖瓜,或者是披着羊皮的狼。
不要成为骗子的帮凶,不要拿与每个人的切身利益相关的问题开玩笑,不要出售伤害和毒害人们的垃圾产品,不要辜负用户对公共媒体的信任。
-结束-
黑色
小黑是个好人,只推销有用的东西。
