12306 再爆数据泄漏,中铁总局官方辟谣:没有此事
今日午间,暗网疑似有人兜售12306用户数据,内含约60万账户信息和410万联系人数据。晚间,中国铁路通过社交平台对此消息进行了辟谣,宣布网传信息不实。网友:这是第几次了?
今日午间,暗网有用户低价兜售12306用户数据,自称内含60万账户信息和410万联系人数据,并给出了表格数据的具体格式:60万账户信息包括用户ID-手机号-用户名-明文密码-姓名-身份证号-邮箱-问题-答案;410万联系人数据包含ID-账号ID-主账号姓名-姓名-身份证号,并宣称两个文件均为Excel格式,只需加5美元就可转成MySQL格式,因为是易复制资源,所以一旦售出概不退款。
为了证明数据的真实性,曝光者还随贴附送了50条随机数据,12306截图和相关联系人数据,图片被曝光在新浪公共图床,有好奇者随即对该数据进行了测试,与以往的“撞库”不同,这次泄漏的信息非常详细,经过测试:图片中显示的50条数据均为真实数据,这也增加了公众的恐慌。
笔者随即通过社交平台联系了该测试者,该测试者表明数据确实为真实数据,已经亲自登录验证,从所提供的字段来看确实十分像12306的存储格式,但12306的密码采用多层加密,除非黑客在“黑”网站的同时也获得了网站的解密方式,但这概率不高。只能说相关流程和渠道太多,无法知晓这50条用户数据的来历。不少网友在社交平台发表评论怀疑本次数据泄漏与使用抢票软件有关。
据统计,这也不是12306第一次陷入数据泄漏丑闻。早在2014年12月,“乌云漏洞”平台就曾有消息称大量12306用户数据在互联网上被传播售卖,包括账号密码、身份证号、邮箱等字段。如果此消息成立,那么已知公开传播的数据涉及用户数就超过13万条。今年6月13日,网络也曾传言,从2016年至2018年3月的3000万条12306网站数据疑似被泄漏,其中包含“手机号、密码、支付密码、姓名、身份证号以及身份验证答案”等内容。
对于上述事件,多位安全专家及网络安全机构曾给出认定,数据很大可能源于黑客通过其他数据库“撞库”整理出来的,即黑客收集其他平台泄漏的用户信息和密码信息,生成密码数据库,然后在12306网站批量尝试登录,最终得到一批可以登录的用户账号及密码。
今日晚间,中国铁路通过社交平台对此消息进行了辟谣,声明如下:
对此,多名网友怀疑此次事件与抢票软件有关,因为官方辟谣但用户数据为真这点确实解释不通。有网友表示,登录抢票软件时发现自己的身份被软件自动绑定,新用户只要第一次登录并绑定手机号后,某些APP会自动获取该手机号的12306乘车人信息,之后会在个人中心页面自动录入该手机号在12306平台添加的常用乘车人信息。目前,某些抢票软件进行了改进,可直接在个人中心页面绑定12306账号。
在最近几次回应中,中国铁路也多次提醒广大用户通过官方网站和官方客户端买票,避免非正常渠道购票带来的风险。临近春运,不少用户会通过抢票软件进行购票,请尽量确保自己的账号密码不与其他平台重复,设置多种登录验证方式,比如人证核验、手机验证等,并升级最新客户端以避免此类事件发生。