12306網(wǎng)站被曝找回密碼機(jī)制存嚴(yán)重隱患
責(zé)編:admin |2014-09-16 14:31:31十一國慶假期即將來臨,近日起又開始迎來了今年第一個網(wǎng)絡(luò)訂票高峰,12306網(wǎng)站再次成為民眾矚目焦點。今日,有安全機(jī)構(gòu)曝出,12306網(wǎng)站的賬號密碼找回機(jī)制存在較嚴(yán)重的安全隱患,易被他人盜號,12306網(wǎng)站中記錄的大量個人及常用聯(lián)系人的身份證號、手機(jī)號碼等敏感信息,均存在泄露的風(fēng)險。
安全機(jī)構(gòu)近日進(jìn)行了一次安全實驗,安全工程師利用一部改造過固件可實現(xiàn)后臺監(jiān)聽的路由器,創(chuàng)建一個假冒運營商提供的免費釣魚WiFi熱點“CMCC”。在人流量大的公共場所,很快就有數(shù)十人的移動設(shè)備自動連接上此釣魚WiFi,而此時他們的上網(wǎng)信息均可被監(jiān)聽,包括電子郵箱的賬戶名和密碼均可以明文獲取!
實驗發(fā)現(xiàn),用獲取到的郵箱賬號和密碼登錄,可直接進(jìn)入郵箱,隨意瀏覽郵件內(nèi)容和文檔。國內(nèi)幾乎所有郵箱服務(wù)全部淪陷!而郵箱往往綁定了社交、網(wǎng)購等許多重要的網(wǎng)絡(luò)服務(wù),攻擊者破解郵箱之后,還可以進(jìn)一步威脅網(wǎng)民其他的信息和資產(chǎn)安全。
在上述實驗中,某網(wǎng)民的新浪郵箱就注冊了12306網(wǎng)站,工程師通過郵箱順利找回了賬戶密碼并成功登錄。12306網(wǎng)站中記錄的用戶真實的姓名、身份證號、手機(jī)號碼,以及大量的常用聯(lián)系人的真實信息,均遭到了泄露。別有用心的攻擊者利用這些身份信息、親屬關(guān)系,還可以破解更多帳號和服務(wù),引發(fā)鏈?zhǔn)叫?yīng),甚至進(jìn)行電信詐騙!
其實,不僅12306網(wǎng)站,許多其他網(wǎng)絡(luò)服務(wù)都具有通過注冊郵箱找回密碼的機(jī)制。在上述實驗中,工程師利用這個方法還成功登錄了網(wǎng)民的亞馬遜賬戶,可以查看他的所有購物歷史記錄和收貨地址。但是,一些超級敏感和重要的網(wǎng)絡(luò)服務(wù),比如支付寶,就采用了雙重或者多重驗證的更加安全的機(jī)制,找回密碼不僅需要注冊郵箱,還需要手機(jī)短信驗證碼等信息。
鑒于12306網(wǎng)站用戶量巨大,還記錄著個人及親屬的大量真實且敏感的信息,安全專家認(rèn)為其現(xiàn)有的安全機(jī)制還存在提升的空間,提供了三點建議:第一,找回密碼需要手機(jī)驗證碼等其他輔助驗證機(jī)制;第二,身份證號、手機(jī)號等信息部分展示,中間變成“*”,只顯示前后4位;第三,登錄時進(jìn)行數(shù)字證書驗證,登錄地點異常時,需要手機(jī)短信驗證。
安全專家還建議普通網(wǎng)民,盡量不要使用來歷不明的公共WiFi,更不要在連接公共WiFi的時候使用電子郵箱、網(wǎng)購、網(wǎng)銀等關(guān)鍵的網(wǎng)絡(luò)服務(wù);家中的路由器后臺和WiFi連接密碼也應(yīng)設(shè)置得復(fù)雜一些,減少被惡意攻擊和劫持的可能性;建議使用路由管理大師等工具免除被蹭網(wǎng)的風(fēng)險。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧