月光博客 » 业界动态 » 12306大量用户资料泄露

12306大量用户资料泄露

  12月25日,国内漏洞报告平台乌云官网爆出,大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等信息。

  关于此次12306用户数据泄露事件,国内某安全研究团队方面验证了该消息的准确性,并获取到了该文中提到的样本数据,文件标题为《12306 邮箱-密码-姓名-身份证-手机(售后群:31109xxxx).txt》,共计131653条记录、文件大小14M。随机抽取了一批帐号(约50个)均成功登陆12306,证明了该批数据是准确的,对于里面出现的明文用户密码,该团队初步推测是利用现有用户数据进行“撞库”。

  针对用户信息泄露一事,12306官方网站随后发布公告称,经过调查,此次泄露信息全部含有用户的明文密码,并称12306网站数据库所有用户密码均为多次加密的非明文转换码,同时暗示用户的明文密码为第三方抢票软件泄漏。

  此前,12306已多次被曝出漏洞。早在今年1月份,有网友爆料称,12306订票网站可以利用假护照、假身份证完成订票。之后利用12306漏洞购票选上下铺的攻略在网上转发。今年7月15日,乌云又曝出12306购票软件存在漏洞,一人可购买一车厢票。

12306数据泄漏

  除了12306网站自身漏洞,近年来大量出现的第三方抢票平台也成为用户数据泄露的可能途径。专家介绍,第三方平台为了让购票更迅捷,运行时可能省去了一些步骤。而这些软件大多未经安全检测,安全性难以保障,用户应尽量使用官网购票,避免使用第三方购票途径。

  目前,公安机关已经介入调查。

  微评:我觉得,12306网站的用户数据泄露,有可能是12306自身网站漏洞引来拖库,导致用户帐号、身份证、邮箱等信息泄漏,然后别人利用帐号邮箱对比CSDN、天涯进行撞库,得出明文密码。抢票软件泄漏用户数据的可能性较小,因为抢票软件通常不会保存用户身份证等信息。

12306数据泄漏

  后续报道:12月26日消息,中国铁路官方微博26日发布消息称,铁路公安已经迅速抓捕12306泄密事件嫌疑人,目前,案件正在审理中。以下是官方公告全文:

  铁路公安机关迅速抓获窃取他人电子信息的犯罪嫌疑人

  铁路公安机关于2014年12月25日晚,将涉嫌窃取并泄露他人电子信息的犯罪嫌疑人抓获。经查,嫌疑人蒋某某、施某某通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密信息,尝试登录其他网站进行“撞库”,非法获取用户的其他信息,并谋取非法利益。

  铁路公安机关提醒广大旅客,为了保护您的各人电子信息安全,在设置12306网站登录密码时不要使用在其他网站相同的密码,并且不要通过第三方网站购票。

  目前,案件正在审理中。

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    工厂店官方微博   说道:
    有没有链接,看看有没有自己!
    支持(18反对(7回复
  1. 2
    电子万精油   说道:
    换句话说,"老子没得错"
    支持(22反对(12回复
  1. 3
    享瘦男   说道:
    已经说了,12306自身原因泄露9月份已经内部论坛有人说了。现在才爆出来,还加害第三方软件!
    支持(21反对(12回复
  1. 4
    肥大先生   说道:
    加密的JB,连个证书都不舍得买的破逼网站有何安全性可言?
    adfasdf 于 2014-12-26 8:59:09 回复
    你们那些骂12306的,如果不是他的错你们死去不?????动不动就出来喷!!一群大傻子,祖上10代都是大傻子。。。
    支持(26反对(18回复
  1. 5
    M不是W-   说道:
    果不其然怨抢票软件
    支持(12反对(4回复
  1. 6
    IOIQ   说道:
    有了明文密码,再去12306登录爬数据就有身份证了
    支持(16反对(8回复
  1. 7
    皖岩前行   说道:
    这确实和12306没什么关系啊,别不喜欢它就乱扣屎盆子。
    支持(14反对(6回复
  1. 8
    软件钢琴师   说道:
    这么快就解决了?
    支持(18反对(10回复
  1. 9
    绑架真理   说道:
    这么快就抓到了?
    支持(20反对(13回复
  1. 10
    FAT仔   说道:
    我就觉得……第三方总会出问题的。
    支持(16反对(10回复
  1. 11
    漏包包   说道:
    我没有用过抢票软件,刚查询了下,没有泄漏
    支持(15反对(9回复
  1. 12
    张文学在新浪   说道:
    如果12306密文存储密码信息,加盐,简单的对比数据库信息是很难找到反向明文的。除非12306真的存储了明文密码,否则我觉得还是抢票出的问题。
    支持(17反对(11回复
  1. 13
    一只EAVY一直走   说道:
    请严查严惩,以儆效尤!!!!
    支持(14反对(8回复
  1. 14
    小爱打听   说道:
    这也太快了……高铁速度抓坏蛋
    支持(18反对(12回复
  1. 15
    邺桦   说道:
    要实现离线抢票的话,得存明文密码,或者用自己的可逆的算法加密存储,离线抢票时再转成明文的登录。
    支持(14反对(9回复
  1. 16
    yxu1   说道:
    智行火车票可以保存登录密码
    支持(12反对(7回复
  1. 17
    fractal314   说道:
    要想知道是不是抢票软件的原因,只需要照着上边的电话打几个问问就知道了
    支持(15反对(10回复
  1. 18
    老鱼119   说道:
    操你妈的傻逼购票平台,你爹想注销都注销不了。傻逼设计
    支持(14反对(9回复
  1. 19
    爆炸太子   说道:
    破烂网站还有脸说
    支持(14反对(9回复
  1. 20
    诗酒田园佛为心   说道:
    那人也胆大,忘了人家铁路自己就有公安。
    支持(17反对(12回复
  1. 21
    曲炯   说道:
    撞库可以理解。但是,专业的网站,即使非法登录也不应泄露重要信息,身份证号应显示为123********456,而非现在这样全部显示。12306还应该改进一下。
    支持(12反对(7回复
  1. 22
    桑小逍   说道:
    软弱无能....遇到问题不去想着更及时修复现有问题以及去发现问题,而是想第一时间追求责任,去制止发现他人漏洞,因为系统本身漏洞就多。这就是为什么GFW屏蔽Google让大家用百度,百度上根本搜不到和技术太搭边的东西,因为ZF不想让你学技术,政府会感到压力。
    支持(16反对(11回复
  1. 23
    混世老灰狼   说道:
    12306的证书有问题,又不是现在才知道!
    支持(16反对(12回复
  1. 所以说很多案子破不了,明显是没到位。办案人员不努力咩
    支持(13反对(9回复
  1. 25
    lishuhang   说道:
    案子侦破慢了被骂无能,侦破快了就说一定是抓了替罪羊
    支持(9反对(5回复
  1. 26
    工程师功夫小熊猫   说道:
    根本就是第三方软件的事儿,全是历史库中的数据,写个脚本撞库整理而已,都散了吧
    支持(13反对(10回复
  1. 27
    深蓝studyzy   说道:
    我选择相信12306的话,他家不可能做出明文密码这种低级的错误。
    支持(13反对(10回复
  1. 28
    不用微博的Benny   说道:
    擦,连csdn都写错了
    支持(13反对(10回复
  1. 29
    overwhelming-1   说道:
    主要是有几个人用用csdn。。
    支持(14反对(11回复
  1. 30
    雨吁-远山行   说道:
    请抓泄露12306网站信息的人,而不是抓 到其他网站,窃取私人信息的人。
    支持(9反对(6回复
  1. 31
    胡子好大   说道:
    也就是说没有用过抢票软件的用户,密码没有泄露对吧?
    支持(13反对(11回复
  1. 32
    gobp61u   说道:
    感觉12306更不可信一点
    支持(15反对(13回复
  1. 33
    不用微博的Benny   说道:
    再次提醒大家,不同账号用不同的密码,12306泄密了,你改12306密码有多大意义,你需要把其他也用这个密码的全改了
    支持(12反对(10回复
  1. 34
    吧唧吧唧吃猪肉   说道:
    铁路局的借口就是多,欺负大众没有安全领域知识。
    支持(14反对(12回复
  1. 35
    Zaodie   说道:
    有了用户名和密码不就可以登进12306把身份证号扒下来了么,lzsb?不动动脑子?
    支持(14反对(12回复
  1. 36
    单骑_走天涯   说道:
    黄牛呢。这么多年网上黄牛抢完票你们抓到一个m y
    支持(12反对(10回复
  1. 37
    今此卿非彼卿   说道:
    能产生这么大范围的影响,这些游戏网站绝非一般的小网站,撞库撞到12306,那我们注册的其他账号也存在一样的风险,话说帐号密码多了能记得完吗?话说个人信息也被卖了无数次了无所谓了╮(╯_╰)╭
    支持(11反对(9回复
  1. 38
    丢嘴网   说道:
    还是撞库……猜对了
    支持(16反对(14回复
  1. 39
    lucien623   说道:
    哪些第三方泄露的目前清楚吗
    支持(10反对(9回复
  1. 40
    大道至简   说道:
    网络没有安全的,所以尽量不要去注册
    支持(12反对(11回复
  1. 41
    大树苍_ROBIN   说道:
    这个只有抢票作者知道吧
    支持(11反对(10回复
  1. 42
    行者无疆又抽了   说道:
    还好我不玩网游
    支持(14反对(13回复
  1. 43
    陆亚明   说道:
    别审了,把人家招致麾下,专攻安全吧!
    支持(11反对(10回复
  1. 44
    西南铁路   说道:
    温馨提示:为了保护您的个人电子信息安全,在设置12306网站登陆密码时不要使用在其他网站相同的密码,并且不要通过第三方网站购票。
    支持(12反对(11回复
  1. 45
    说时却依旧   说道:
    无所谓了,个人信息已经被各大网站卖了无数次,也不差这一次了………
    支持(14反对(13回复
  1. 46
    dannylsl   说道:
    抢票软件也可以直接获取明文密码呀,捕获用户输入,判断返回结果就能知道密码对不对了
    支持(11反对(11回复
  1. 47
    就原野君吧   说道:
    不要总让老百姓注意,不要这样不要那样,按你们的逻辑不要买票就什么事情都没有了,你们自己就不能提高一下?站在老百姓的角度为人民服务,而不是把自己总是抬的高高在上。保护客户的隐私你们义不容辞。
    支持(12反对(12回复
  1. 48
    小熊很happy   说道:
    12306 里面有360你懂的
    支持(10反对(10回复
  1. 49
    CSURUC   说道:
    玩游戏的童靴注意了!!!
    支持(12反对(12回复
  1. 50
    职业欠钱   说道:
    昨天第一时间分析出“撞库”的,才是基本功扎实的表现啊。第一时间友情提醒改密码的,嗯,知道你们很热心了……
    支持(12反对(12回复
  1. 51
    W-H-Geek   说道:
    原来真的和12306无关
    支持(12反对(12回复
  1. 52
    深圳西部空空   说道:
    有没有链接,看看有没有自己
    支持(12反对(13回复
  1. 53
    大城小我   说道:
    没有什么是安全的,只要接入网络,就需要小心了
    支持(11反对(12回复
  1. 54
    执信飘飘   说道:
    有些自动化刷票并提交订单的会~ 如果只是浏览器插件可能性较低。
    支持(10反对(11回复
  1. 55
    Will-_--   说道:
    月光你弄错了逻辑,应该是黑客用其他站手机的数据库去登陆12306得到可以登陆的口令列表。
    支持(14反对(15回复
  1. 56
    昏啊圆啊晕啊   说道:
    用过两个第三方刷票 360和网易 没有泄漏
    支持(9反对(10回复
  1. 57
    ripeachtime   说道:
    意思就是说,平常玩游戏的密码,和重要的财物的密码,不能用同一个。
    支持(11反对(12回复
  1. 58
    风中清扬的树   说道:
    铁老大自己有公检法,敢动铁老大的12306,绝对死得很惨!
    支持(12反对(13回复
  1. 59
    mudLee   说道:
    “某游戏网站以及其他多个网站”到底是哪些网站,你说啊!!
    支持(9反对(10回复
  1. 60
    番茄HC   说道:
    忘记他们还有专门的警察...效率好高
    支持(11反对(12回复
  1. 61
    不知之否   说道:
    今天还在想用抢票软件不怕泄漏帐号密码么。。
    支持(11反对(13回复
  1. 62
    难道真的是我   说道:
    今天去过百货,我钱包丢了,百货商店就要负责
    aaaa 于 2015-1-14 18:21:47 回复
    如果你的购物卡在身上,里面的资金被动用了你当然要找商场.
    支持(12反对(14回复
  1. 63
    程序员刘涛   说道:
    把抢票软件想得太天真了。
    支持(10反对(12回复
  1. 64
    SpiritsForever   说道:
    难说,且不考虑技术层面,身份证信息这种资源说插件不太可能保存我是不信的。
    支持(9反对(11回复
  1. 65
    江湖小蛀虫   说道:
    保存用户身份证信息的抢票软件太多了
    支持(13反对(15回复
  1. 66
    yakczh   说道:
    这傻比肯定是收了钱了,你妈逼的你有什么证据判断抢票通常不会保存用户身份证信息的?就凭你的智商吗?
    支持(9反对(11回复
  1. 67
    李玉玺Yugi   说道:
    呵呵,撞库才有鬼,真是逗
    支持(9反对(11回复
  1. 68
    ZHU一DANhh   说道:
    本人学生一个,买个票就没用上学生证过,注册也不成功,不知道怎么,多亏没注册阿,决定卸掉吧
    支持(11反对(13回复
  1. 69
    小清清428   说道:
    是真抓到了,还是安抚人心?信息已经泄漏了啊。
    支持(13反对(15回复
  1. 70
    当心背后   说道:
    12306是不是应该出来辟谣,不是抢票工具的问题
    支持(11反对(13回复
  1. 71
    Subarashi_kami_sam   说道:
    有权,任性。铁路都转企了。哪个企业有公安系统?
    支持(14反对(16回复
  1. 72
    茄子泥焗黃魚   说道:
    12306其实现在做的还不错了,应该不会有这么低级的错误吧
    支持(10反对(13回复
  1. 73
    拂晓拓海   说道:
    月光认为只要是问题,肯定出在国企身上
    支持(16反对(19回复
  1. 74
    许志彪律师   说道:
    铁路官方的回应语焉不详。
    支持(10反对(13回复
  1. 75
    瓦力诺夫斯基   说道:
    希望网站能加强信息安全建设,另外,建议把嫌疑人搞死
    支持(14反对(17回复
  1. 76
    等的无聊   说道:
    QNMB 买个票 还有单双号! 麻痹 而且就那一周有那趟火车! 看你麻痹的网站是什么样子啊! 老子一年多都没回去了 在外读个书容易嘛!!
    支持(13反对(16回复
  1. 77
    卡西法大人   说道:
    买卖用户信息双方都应被严重问责 不应简单只责一方
    支持(10反对(13回复
  1. 78
    aisonye   说道:
    对这样的犯罪分子要严惩!
    支持(11反对(14回复
  1. 79
    匿名   说道:
    为什么不可能是抢票软件漏洞泄露了用户名密码,之后黑客用这些从12306获取了其它个人信息呢?
    支持(12反对(16回复
  1. 80
    O笑O談天下事   说道:
    连个证书都舍不得买的网站,说他怎么安全我也是呵呵的。。
    支持(13反对(17回复
  1. 81
    _Lumos_   说道:
    抢票软件知道知道用户名密码啊 然后不就知道身份证号什么的了吗!
    支持(13反对(17回复
  1. 82
    Dimension-Illusion   说道:
    抢票软件通常不会保存。。。这逻辑,真怀疑你啊
    支持(11反对(15回复
  1. 83
    Ketsusah   说道:
    敢脱12306的裤,让你光腚蹲大牢。
    支持(9反对(13回复
  1. 84
    silenceleaf   说道:
    已经不是网上随便干点坏事没人知道的时代了,技术用到歪地方真能坐牢的
    支持(8反对(12回复
  1. 85
    Iceman_CRH2-187A   说道:
    铁总怒了,说抓就抓
    支持(13反对(17回复
  1. 86
    阳光下温暖的猫   说道:
    是怎样就是怎样,妄加猜测的评论真是够了。
    支持(11反对(15回复
  1. 也是被逼无奈,不用第三方根本抢不到票,六十天预售期真的好么?
    支持(8反对(12回复
  1. 88
    coolypf   说道:
    如果你看过泄露的数据就不会这么想了,总共才 131653 条。用户名、邮箱、密码是其他地方泄露的,身份证、手机号是登录12306之后抓取的。这次的数据不可能是“12306自身网站漏洞”造成的。
    支持(7反对(12回复
  1. 89
    没圣衣的圣斗士   说道:
    大哥,我向一个业内高手咨询了,说是撞库撞出来的,好像不是脱裤。。。
    支持(10反对(15回复
  1. 90
    素年锦时FTD   说道:
    一些离线抢票的肯定会记录12306账号密码 比如360
    支持(7反对(12回复
  1. 91
    愚忘忧   说道:
    无论怎么说,还是要提醒大家改!密!码!
    支持(9反对(15回复
  1. 92
    上官于亮   说道:
    已经改过密码了,加强版的
    支持(9反对(15回复
  1. 93
    Xiao凯123   说道:
    有内幕…都说了撞库的可能性不大,又突然抓到嫌疑人!
    支持(7反对(13回复
  1. 94
    对不起长官sorrysir-   说道:
    现在说有个D用,票都卖完了。第三方购票平台也都得到了好处。
    支持(8反对(14回复
  1. 95
    瓦斯大队部   说道:
    干脆啊~很给力!
    支持(10反对(16回复
  1. 96
    他们都叫我掌柜   说道:
    铁路网络订票,里面包含了个人非常重要的个人资料,当初开通网上购票后就应该考虑可能会面临其他的漏洞、风险,提前预防总是好的,但最终农民工一票难求的问题还是无法解决,使用第三方软件购票也是被迫的,因没有什么能阻挡人们与家人团聚的意念
    支持(7反对(13回复
  1. 97
    公信手机卫士   说道:
    莫伸手,伸手必被捉。
    支持(10反对(16回复
  1. 98
    胖子天佑   说道:
    你们这是不是承认了是你们自己网站出了问题?花好几亿就建了这么个破网站?
    支持(10反对(17回复
  1. 99
    保定吴彦祖   说道:
    为了打击第三方抢票软件,这种招都想出来了
    支持(12反对(19回复
  1. 100
    月月鸟Oscar   说道:
    所以说涉及到支付的所有用户名和密码,不要和社交网站的一致。社交网站泄漏账户密码不是一天两天了
    支持(8反对(15回复
  1. 101
    明惑三十香   说道:
    泱泱大国,在银行信用卡信息四处泄露,在快递信息倒买倒卖,在各种个人情报信息侵权泛滥的今天,就不能在12360这样的平台推出之前出台一个“个人信息保守法”么???又不是史不前例,自己不会,那么多国家有现成的例子不会参考么??? 可悲!!!可叹!!!可怜!!!
    支持(7反对(17回复

发表留言