压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　昨天烏云網(wǎng)上貼出一則關(guān)于大量12306用戶數(shù)據(jù)被泄露的報(bào)告。這次的漏洞危害顯示為“高”，將會(huì)導(dǎo)致包括用戶帳號(hào)、明文密碼、身份證郵箱等用戶個(gè)人信息被泄露。專家分析稱這次事件基本可以定性為撞庫(kù)行為。

　　消息一出即在網(wǎng)絡(luò)上瘋狂傳播，引發(fā)全民吐槽與修改密碼狂潮。12306官方回應(yīng)網(wǎng)站數(shù)據(jù)庫(kù)的所有用戶密碼均為多次加密的非明文轉(zhuǎn)換碼，網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出。目前，信息漏洞已提交至國(guó)家互聯(lián)網(wǎng)應(yīng)急中心處理，不過(guò)相關(guān)部門(mén)尚未對(duì)此作出回應(yīng)。

　　12306網(wǎng)站屢受詬病

　　今日漏洞報(bào)告平臺(tái)烏云網(wǎng)出現(xiàn)了一則關(guān)于12306的漏洞報(bào)告。報(bào)告稱大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)遭瘋傳，包括用戶帳號(hào)、明文密碼、身份證郵箱等。

　　針對(duì)互聯(lián)網(wǎng)上出現(xiàn)“12306網(wǎng)站用戶信息在互聯(lián)網(wǎng)上瘋傳”的報(bào)道，12306官方網(wǎng)站發(fā)布公告回應(yīng)稱，此泄露信息全部含有用戶的明文密碼。“我網(wǎng)站數(shù)據(jù)庫(kù)所有用戶密碼均為多次加密的非明文轉(zhuǎn)換碼，網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出。目前，公安機(jī)關(guān)已經(jīng)介入調(diào)查。”

　　有網(wǎng)友借此揶揄12306網(wǎng)站的回應(yīng)：“買不到票只怪我們手慢，信息泄露了就是我們?nèi)e的網(wǎng)站買票的后果，呵呵。”

　　事實(shí)上，12306網(wǎng)站的運(yùn)營(yíng)狀況一直都飽受用戶詬病批評(píng)。本月21號(hào)，作為唯一官方網(wǎng)絡(luò)購(gòu)票渠道，12306網(wǎng)站迎來(lái)了春節(jié)火車票搶票最高峰。頁(yè)面刷新緩慢、查詢時(shí)出現(xiàn)“刷新失敗”、突然取消用戶登錄等問(wèn)題已經(jīng)見(jiàn)怪不怪了。如今在開(kāi)售僅僅四天，12306再次發(fā)生重大的信息泄露安全事故，對(duì)于大部分用戶來(lái)說(shuō)，即使此次事故不能全部歸咎于網(wǎng)站本身，12306繼續(xù)遭受詬病的命運(yùn)還是難以避免了。

　　信息泄露引發(fā)全民修改密碼熱潮。南都記者接到用戶反映稱，多次嘗試都未成功修改密碼，而有部分網(wǎng)友則反映修改密碼后不能登陸網(wǎng)站；最悲催的一位網(wǎng)友則表示其在不知情的情況下遭遇“被退票”。

　　“在線填寫(xiě)的個(gè)人信息并不是都加密的，像姓名、身份證號(hào)就是明文，銀行卡號(hào)、CVV碼就會(huì)強(qiáng)加密。”有“中國(guó)黑客教父”之稱的龔蔚說(shuō)，“之所以一部分個(gè)人信息不加密，是出于資源使用效率和用戶體驗(yàn)的考慮，加密要消耗系統(tǒng)資源，并且還需要解密、還原的過(guò)程，這樣使用起來(lái)程序繁多、速度很慢。”

　　基本定性為“撞庫(kù)”行為

　　“像這次12306泄密的事件，我們覺(jué)得存在三種可能：12306的服務(wù)器被攻破，第三方搶票軟件被攻破，或者是用戶信息被撞庫(kù)泄露。”獵豹移動(dòng)安全專家李鐵軍對(duì)南都記者說(shuō)。

　　“12306屬于國(guó)家級(jí)網(wǎng)站，其服務(wù)器被攻破可能性相對(duì)較小，同時(shí)其也官方聲明服務(wù)器儲(chǔ)存的是加密密碼，不是明文密碼，這導(dǎo)致其即使服務(wù)器被攻破，密碼破解也并不容易；至于搶票軟件則分兩種，一種是瀏覽器插件搶票，用戶密碼只保留在瀏覽器上，這種出現(xiàn)大面積泄密可能性顯然不現(xiàn)實(shí)；反而是提供離線下載的軟件，其密碼就停留在第三方服務(wù)器，存在泄密可能。”李鐵軍認(rèn)為第三種情況，即黑客撞庫(kù)行為可能性相對(duì)較大。而作為國(guó)內(nèi)首家提供離線下載功能的360則告訴記者，360通過(guò)HTTPs進(jìn)行傳輸加密，服務(wù)端以加密密碼保存，用戶登錄取回時(shí)則星化處理。“不存在泄密可能。”

　　另?yè)?jù)知道創(chuàng)宇安全團(tuán)隊(duì)檢測(cè)評(píng)析，“這次事件基本可以定性為撞庫(kù)行為。理由如下：1、隨機(jī)抽取了一批帳號(hào)（約50個(gè)）均成功登陸12306，證明了該批數(shù)據(jù)是準(zhǔn)確的；2、隨機(jī)聯(lián)系了該批數(shù)據(jù)中的多個(gè)qq用戶，均反饋沒(méi)有使用過(guò)搶票軟件且近期沒(méi)有購(gòu)票行為；3、經(jīng)與群中人員進(jìn)行交流，并未有人見(jiàn)過(guò)該批18G的全部數(shù)據(jù)，普遍認(rèn)為該批數(shù)據(jù)為撞庫(kù)所得，并不存在18G的12306全部數(shù)據(jù)。4、安全人員搜索以往互聯(lián)網(wǎng)上的數(shù)據(jù)進(jìn)行了匹配，從17173.com、7k7k.com、uuu9.com等網(wǎng)站泄露流傳的數(shù)據(jù)中搜索到了該批13.15萬(wàn)條用戶數(shù)據(jù)，基本可以確認(rèn)該批數(shù)據(jù)全部是通過(guò)撞庫(kù)獲得。”知道創(chuàng)宇市場(chǎng)總監(jiān)張毅告訴南都記者，黑客團(tuán)隊(duì)從地下產(chǎn)業(yè)鏈?zhǔn)召?gòu)海量用戶名及密碼數(shù)據(jù)，在12306、淘寶、京東等不同網(wǎng)站進(jìn)行撞庫(kù)匹配，而大部分網(wǎng)民在各大互聯(lián)網(wǎng)平臺(tái)采用同一套用戶名密碼，這會(huì)讓黑客存在可乘之機(jī)。