论坛徽章:: 49

电梯直达

1楼 [收藏(0)] [报告]

发表于 2014-12-26 09:10 |只看该作者 |倒序浏览

　坏事传千里。

　　昨日突然爆出12306泄密事件：一份私下流传的文件中，包含13万用户的账号、明文密码、**、邮箱、手机号等敏感信息。一时之间，人心惶惶。

　　12306随后在回应中表示：泄露的用户信息系经其他网站渠道流出；也即否认与这次泄密有关。这是真的么？如果不是12306又该怪谁呢？

　　所以新浪科技决定，展开一次人肉调查：

　　从昨天下午开始，新浪科技根据泄密信息，随机抽查访问了80位有效用户，一一打电话过去询问、核实相关情况，并提示对方及时修改12306密码。

　　首先，我们要确认对方是不是12306的注册用户，有没有使用第三方购票服务。

　　结果显示在我们调查的80位用户中，只有11位用户确认使用过第三方软件进行过火车票预订，而绝大部分人使用的还是12306的官方网站或客户端订票。进一步，大约90%的受访用户表示，最近并没有登录过12306网站，也没有使用过第三方的抢票软件。

　　从这个抽样数据来看，很难得出第三方抢票软件泄密的结论。那么是12306自己的泄密？我们的调查同样也不支持得到这个结论。

　　不可否认，受访用户的手机号码和姓名都是一一对应的，这份泄密文件的真实度非常高。然而在我们的调查中，有用户向新浪科技表示，名单泄露的密码并不是自己最新的密码。一位用户明确告诉新浪科技，至少1个月前已修改过密码。还有5位用户的手机号码已经成为空号。

　　这些信息显示，此次的外泄的用户信息，肯定不是最新的。

　　还有一位用户的情况更值得注意。这位用户的相关信息就在此次12306泄密的文件中，据其回忆从未使用过第三方购票软件，而且他提供了一个重要的信息：此前“开房门”数据泄密事件时，自己的用户名和密码就曾暴露过，而12306的账户是那次事件后，他唯一没有修改密码的账户。

　　基于上述统计信息，我们产生了一个猜想：有黑客拿到之前泄露的账户和密码，到12306上进行登录测试，如果恰巧用户使用了同样的用户名和密码，那么黑客就进入到这个账户，进而获得**和电话等相关信息。实际上，后来也有其他机构发出同样的猜想。后面我们会提到。

　　所以，新浪科技根据抽查的样本，大致能得出这样几个结论：

　　1、已经泄密的数据库绝大部分数据都是真实的。

　　2、数据库肯定不是最新的。

　　3、这部分数据很可能是有人通过“撞库攻击”获得。也就是利用以前泄露的账号信息，尝试登录12306网站，并最终获得**号码、手机号等信息。

　　4、泄露的信息规模可能并不大，用户并不需要恐慌，但是出于安全考虑，还是建议修改一下密码。

　　在这次的调查中，我们还附带统计到一些有趣的数据：哪些第三方的购票服务用户较多。结果显示80位受访者中，11个使用过第三方服务，其中：5个使用360提供的火车票购票服务、2个用高铁管家、2个用猎豹浏览器、1个用携程，1个用去那儿。

　　刚才提到有机构也作出了结论，如下所述。

　　关于12306用户帐号、密码等敏感数据信息泄露问题，乌云方面通过抽查部分帐号验证后发现确实可以登录。乌云官方表示，目前通过白帽子分析，数据疑似黑客撞库后整理得到而并非12306直接泄漏，请用户及时修改密码同时慎用抢票工具。

　　安全公司——知道创宇的安全研究团队也与新浪科技得出了相同的结论，所谓的12306数据泄露事件实际是“撞库攻击”。

　　据报道，知道创宇随机抽取了一批帐号(约50个)均成功登陆12306，证明了该批数据是准确的；随机联系了该批数据中的多个qq用户，均反馈没有使用过抢票软件且近期没有购票行为；经与群中人员进行交流，普遍认为该批数据为撞库所得，并不存在12306全部数据。

　　最后，安全人员搜索以往互联网上的数据进行了匹配，从17173、7k7k、uuu9等网站泄露流传的数据中搜索到了该批13.15万条用户数据，可以确认该批数据全部是通过撞库获得。

　　不知道这个结论是否已被官方认可。在昨日新浪科技的调查中，80位用户中有两位表示收到过12306提示修改密码的短信，也就是说大部分用户没有得到这个提示。究竟什么样的用户能够得到12306的提示呢？似乎找不到一个恰当的解释。

　　新浪科技昨天下午致电北京12306客服，在沟通中客服显然已经知悉此次泄密风波，并对新浪科技表示，所有12306的注册用户都会得到修改密码的提示，并已经委托运营商发送提示短信，用户收到时间会有不同。显然，这更像是一个托词般的解释。

　　风波过后，值得反思的是，一场不应被高估的泄密事件，为何演变成小小的恐慌？

　　回顾这个事件。乌云首先爆出漏洞，12306迅速作出回应，指责网上泄露的用户信息系经其他网站或渠道流出。不仅如此，12306在声明中建议“不要使用第三方抢票软件购票，或委托第三方网站购票”，暗示泄露数据的就是第三方抢票软件或者网站。

　　昨天下午这些第三方软件纷纷对新浪科技表示无辜中枪。

　　从我们和其他机构的分析来看，似乎的确与第三方无关。由此我们进一步大开脑洞猜想，也许这次的事件，会引发对第三方插件和网站的新一轮监管。一直以来，第三方的火车购票服务就存在争议，未来究竟会怎样？一切还不得而知。