12306用户信息泄露 专家建议尽快修改登陆密码
- 发布时间:2014-12-27 09:58:15 来源:中国广播网 责任编辑:罗伯特
央广网北京12月27日消息(记者 丁飞 刘玉蕾)据中国之声《新闻纵横》报道,连着几天为抢票头晕脑胀的“春运族”们都知道,今天是个大日子,因为大年初六的返程票要开售了。不过,为了进一步打击利用他人身份信息囤票倒票的现象,铁路12306再度发布新政,从昨天起,
。如果旅客发现身份被冒用,可以随时举报。新举措该怎么来理解?
正所谓“魔高一尺、道高一丈”。为了继续打击黄牛倒票囤票,铁路部门再推新政,售票系统不再接受行程冲突的购票。于是连日里争相购买返程票的老百姓要搞清楚的第一个问题就是,什么算“行程冲突”呢?12306客服解释说,同一乘车人的乘车时间出现交叉,是不行的:
12306:打个比方,您买了一张今天早上8点发的车,下午2点到。您再想买一张今天上午9点发的车,就买不了了。同一趟车,从上车到下车这段时间内,您就不能再买别的车了。
也就是说,两趟车的时间不能有交集。那么,在列车中途下车,中转到另一趟车的旅客,算不算违规呢?
12306:中转那种不算“冲突”,是按您的车票票面时间,那时间上肯定不能冲突啊。比如您从北京到天津,再从天津中转去沧州。从北京到天津的点,是中午12点,您买天津到沧州不能买11点的对吧?
一人一张身份证,同一个身份证不可能同时出现在两辆车上。很显然,这是为了打击身份冒用,打击囤票倒票。如果行程冲突,必须要先把前面的票退了或改签,再重现买票。如果发现身份信息被冒用,必须要先举报才能继续购票。那么,怎样才能发现有没有被冒用呢?
12306:您要是自己没买过,然后一直提示“冲突”,那就是被冒用信息了。自己买过就别举报了,举报把您自己举报了。
记者:为什么不能直接封了它必须要举报?
12306:现在好多个账号给一个人买票的情况还是很多的,您看您这账号买了一张,您朋友也给您买了一张,我们不能直接把他给封了对吧。举报了我们再去调查。
我们再来比较一下,新的措施和之前的不同。此前,根据实名制网上购票规定,一张身份证在同一天、同一个车次只能买一张票,但在同一天买不同车次的票,是可以的。对此12306曾经表示,这种“囤票”不违规。而现在,时间冲突的票是买不了的,可以看出,新规是对此前政策的一次矫正。矫正过后是不是就没有问题了呢?对此,乘客高先生也表达了他的困扰。
乘客高先生:对我来说肯定没有之前方便,原来想的是有一张保底了,再抢一张黄金时间的肯定会更好一些,这样的话比我买到不是特别满意的票之后,原来我还有办法调整,比如说我老家在南京,我回老家的时候有时候就会买不到回南京的票,我就提前买一张去上海的票,但我用时会不断的尝试买一张回南京的票,因为那样的话不会浪费很多的钱,但是如果现在有这个所谓冲突机制出来的话,我买了去上海的票,在同一时段,在当天可能我就没法再买一张去南京的票了,就会浪费一些钱吧,对我来说就造成一些不方便。
新政昨天发布,这个时间点很容易让人联想到最近炒的沸沸扬扬的“13万用户信息泄露”的新闻。根据铁路公安部门发布的最新消息,已经于前天晚上将涉嫌窃取并泄露他人电子信息的犯罪嫌疑人蒋某某、施某某抓获。两人通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息,尝试登陆其他网站进行“撞库”,非法获取用户的其他信息,并谋取非法利益。
这里说的“撞库”,就是拿别的地方泄露的用户信息,去试,看看能不能登陆到12306上。不过这件发生在圣诞节当天的信息泄露案似乎并没有结束。360公司昨天告诉中国之声,12306手机APP确存在安全隐患。
从上午11点发现信息泄露,到晚上抓到两名犯罪嫌疑人,只用了不到一天。根据铁路公安机关发布的最新消息,事件基本可以还原为,先收集其他网站泄露出的用户名和密码,再通过撞库,尝试能否进入12306。这个事实可以得出两个结论:第一,用户信息并不是12306直接泄露的;第二,受害者大多是仅靠一套用户名和密码“走天下”。
事件并没有就此结束。360补天漏洞平台经过进一步检测发现,12306手机APP存在漏洞,才可能导致自动化撞库得以实现。
360安全专家赵武:为什么黑客能撞库成功?就在于它没有针对这个撞库行为进行一个拦截和识别。就是它没有做验证码或二次验证,只要你用户名和密码对了,它就可以登录成功。
按这个逻辑,有验证环节,就只能手工输入甚至被拦截;没有验证,就可以批量扫库,进而导致高达13万用户数据被疯狂转载的状况:
赵武:就比如说我要是有个验证码,或者短信确认,那黑客就没有办法自动化确认了,他就只能一个一个去试,成本高收益也很低。但如果用自动化工具跑1000万,我可能一天就跑完了。
目前,360已经将漏洞通报12306,案件也正在审理中。网友们在焦急抢票的同时,也在围观坐等结果。不过,既然我们只有这一个网上购票渠道,希望它能最大程度地,保证安全。
针对此次泄露事件,安全专家建议用户可采取以下措施避免安全隐患:首先,迅速修改12306网站登录密码;由于新密码同步到所有服务器需要时间,部分用户修改密码后,或不能立刻登录;另外,及时修改12306网站注册邮箱密码,邮箱密码与12306网站登录密码尽量不要一样。
同时,注册过12306的用户还要注意,泄露的用户信息以及亲友信息很有可能被不法分子利用,用户会在未来可能收到不少诈骗电话。建议用户在处理与银行转账汇款业务时务必要电话确认身份,谨防电信诈骗;订票的时候,切勿使用离线抢票功能。因为离线抢票就是第三方服务托管服务,必须明文存密码,且没法加密,所以一旦泄露就是明文密码。
另外,12306网站信息泄露被曝光后,网上出现许多12306网站信息泄露查询页面,制作署名为铁道网或铁道论坛。经证实,12306没有发布过类似网站页面,也并未发布泄密查询。安全专家也提醒,非官方查询页面可能会非法捕捉用户信息,甚至可能加载木马,入侵个人电脑和手机终端,更容易造成个人信息泄露。(丁飞 刘玉蕾)