12月26日消息,12306网站用户信息泄露,包括13万用户的帐号、明文密码、身份证、邮箱、手机号码等。25日晚,涉嫌12306网站泄密的两名犯罪嫌疑人被抓,公安机关证实黑客采用撞库方式非法获取用户数据。360手机安全专家提醒,手机号和身份证号码的泄露很可能招致骚扰及电信,而账号密码被黑客掌握则会威胁其他网站登陆甚至支付安全,建议网民不要轻信电话,并及时修改所有于12306相同密码。
图:12306 网站用户信息遭泄露
据安全技术人员分析,12306被撞库,很可能是其手机APP漏洞导致。360补天漏洞平台发现12306手机APP登陆接口可被黑客恶意利用,无限次尝试撞库破解。360已第一时间将此漏洞通报12306进行修复。
此次12306信息外泄,几乎13万条账号密码都可以从此前多家游戏网站泄露的密码库中匹配到相应数据,极有可能是黑客用掌握的账号密码对12306发动撞库攻击。而在对12306泄露数据中的用户进行抽样调查时,发现超过半数没有使用过任何抢票软件,因此抢票软件并不是此次用户账号密码泄露的渠道。
虽然犯罪嫌疑人已经被抓,但因信息泄露造成的危害却已经显现。已经有网友反映遭遇恶意退票,是否为黄牛购得信息操作尚不可知。另一方面,有不法分子借“12306完整数据库”等名目在网络中散播木马病毒,网友一旦误点则相当危险。另外,由于账号密码的共同性,其他网站账号以及支付类账号同样很可能遭到攻击,造成网友隐私的进一步泄露和潜在的经济损失风险。
360手机安全专家指出,手机号码的泄露后必然会带来电信骚扰、的盛行。而手机号码也是各类移动支付软件的常用账号,如使用密码与12306一致,就很可能造成经济损失。身份证信息泄露则更为凶险,黑客可利用身份证补办手机卡,通过支付验证短信盗取支付账号内的钱款。
360手机安全专家对手机用户提出以下建议:
第一,要及时修改密码,其他与12306及用手机号作为账号的网站和软件也应一并修改。此外定期变更密码,不要使用统一密码也可有效降低中招几率。
第二,在未来一段时间内,是因信息泄露产生的电话高发期,接到与银行转帐汇款有关的业务电话时,务必确认对方身份,并使用360手机卫士等安全软件识别并拦截电话。
第三,手机用户在12306订票APP时,一定要通过官方网站或360手机助手下载,以免安装不安全的购票软件,再次遭遇泄密事件。