壞事傳千里。
昨日突然爆出12306泄密事件:一份私下流傳的文件中,包含13萬(wàn)用戶的賬號(hào)、明文密碼、身份證、郵箱、手機(jī)號(hào)等敏感信息。一時(shí)之間,人心惶惶。
12306隨后在回應(yīng)中表示:泄露的用戶信息系經(jīng)其他網(wǎng)站渠道流出;也即否認(rèn)與這次泄密有關(guān)。這是真的么?如果不是12306又該怪誰(shuí)呢?
所以新浪科技決定,展開(kāi)一次人肉調(diào)查:
從昨天下午開(kāi)始,新浪科技根據(jù)泄密信息,隨機(jī)抽查訪問(wèn)了80位有效用戶,一一打電話過(guò)去詢問(wèn)、核實(shí)相關(guān)情況,并提示對(duì)方及時(shí)修改12306密碼。
首先,我們要確認(rèn)對(duì)方是不是12306的注冊(cè)用戶,有沒(méi)有使用第三方購(gòu)票服務(wù)。
結(jié)果顯示在我們調(diào)查的80位用戶中,只有11位用戶確認(rèn)使用過(guò)第三方軟件進(jìn)行過(guò)火車票預(yù)訂,而絕大部分人使用的還是12306的官方網(wǎng)站或客戶端訂票。進(jìn)一步,大約90%的受訪用戶表示,最近并沒(méi)有登錄過(guò)12306網(wǎng)站,也沒(méi)有使用過(guò)第三方的搶票軟件。
從這個(gè)抽樣數(shù)據(jù)來(lái)看,很難得出第三方搶票軟件泄密的結(jié)論。那么是12306自己的泄密?我們的調(diào)查同樣也不支持得到這個(gè)結(jié)論。
不可否認(rèn),受訪用戶的手機(jī)號(hào)碼和姓名都是一一對(duì)應(yīng)的,這份泄密文件的真實(shí)度非常高。然而在我們的調(diào)查中,有用戶向新浪科技表示,名單泄露的密碼并不是自己最新的密碼。一位用戶明確告訴新浪科技,至少1個(gè)月前已修改過(guò)密碼。還有5位用戶的手機(jī)號(hào)碼已經(jīng)成為空號(hào)。
這些信息顯示,此次的外泄的用戶信息,肯定不是最新的。
還有一位用戶的情況更值得注意。這位用戶的相關(guān)信息就在此次12306泄密的文件中,據(jù)其回憶從未使用過(guò)第三方購(gòu)票軟件,而且他提供了一個(gè)重要的信息:此前“開(kāi)房門”數(shù)據(jù)泄密事件時(shí),自己的用戶名和密碼就曾暴露過(guò),而12306的賬戶是那次事件后,他唯一沒(méi)有修改密碼的賬戶。
基于上述統(tǒng)計(jì)信息,我們產(chǎn)生了一個(gè)猜想:有黑客拿到之前泄露的賬戶和密碼,到12306上進(jìn)行登錄測(cè)試,如果恰巧用戶使用了同樣的用戶名和密碼,那么黑客就進(jìn)入到這個(gè)賬戶,進(jìn)而獲得身份證和電話等相關(guān)信息。實(shí)際上,后來(lái)也有其他機(jī)構(gòu)發(fā)出同樣的猜想。后面我們會(huì)提到。
所以,新浪科技根據(jù)抽查的樣本,大致能得出這樣幾個(gè)結(jié)論:
1、已經(jīng)泄密的數(shù)據(jù)庫(kù)絕大部分?jǐn)?shù)據(jù)都是真實(shí)的。
2、數(shù)據(jù)庫(kù)肯定不是最新的。
3、這部分?jǐn)?shù)據(jù)很可能是有人通過(guò)“撞庫(kù)攻擊”獲得。也就是利用以前泄露的賬號(hào)信息,嘗試登錄12306網(wǎng)站,并最終獲得身份證號(hào)碼、手機(jī)號(hào)等信息。
4、泄露的信息規(guī)??赡懿⒉淮?,用戶并不需要恐慌,但是出于安全考慮,還是建議修改一下密碼。
在這次的調(diào)查中,我們還附帶統(tǒng)計(jì)到一些有趣的數(shù)據(jù):哪些第三方的購(gòu)票服務(wù)用戶較多。結(jié)果顯示80位受訪者中,11個(gè)使用過(guò)第三方服務(wù),其中:5個(gè)使用360提供的火車票購(gòu)票服務(wù)、2個(gè)用高鐵管家、2個(gè)用獵豹瀏覽器、1個(gè)用攜程,1個(gè)用去那兒。
剛才提到有機(jī)構(gòu)也作出了結(jié)論,如下所述。
關(guān)于12306用戶帳號(hào)、密碼等敏感數(shù)據(jù)信息泄露問(wèn)題,烏云方面通過(guò)抽查部分帳號(hào)驗(yàn)證后發(fā)現(xiàn)確實(shí)可以登錄。烏云官方表示,目前通過(guò)白帽子分析,數(shù)據(jù)疑似黑客撞庫(kù)后整理得到而并非12306直接泄漏,請(qǐng)用戶及時(shí)修改密碼同時(shí)慎用搶票工具。
安全公司——知道創(chuàng)宇的安全研究團(tuán)隊(duì)也與新浪科技得出了相同的結(jié)論,所謂的12306數(shù)據(jù)泄露事件實(shí)際是“撞庫(kù)攻擊”。
據(jù)報(bào)道,知道創(chuàng)宇隨機(jī)抽取了一批帳號(hào)(約50個(gè))均成功登陸12306,證明了該批數(shù)據(jù)是準(zhǔn)確的;隨機(jī)聯(lián)系了該批數(shù)據(jù)中的多個(gè)qq用戶,均反饋沒(méi)有使用過(guò)搶票軟件且近期沒(méi)有購(gòu)票行為;經(jīng)與群中人員進(jìn)行交流,普遍認(rèn)為該批數(shù)據(jù)為撞庫(kù)所得,并不存在12306全部數(shù)據(jù)。
最后,安全人員搜索以往互聯(lián)網(wǎng)上的數(shù)據(jù)進(jìn)行了匹配,從17173、7k7k、uuu9等網(wǎng)站泄露流傳的數(shù)據(jù)中搜索到了該批13.15萬(wàn)條用戶數(shù)據(jù),可以確認(rèn)該批數(shù)據(jù)全部是通過(guò)撞庫(kù)獲得。
不知道這個(gè)結(jié)論是否已被官方認(rèn)可。在昨日新浪科技的調(diào)查中,80位用戶中有兩位表示收到過(guò)12306提示修改密碼的短信,也就是說(shuō)大部分用戶沒(méi)有得到這個(gè)提示。究竟什么樣的用戶能夠得到12306的提示呢?似乎找不到一個(gè)恰當(dāng)?shù)慕忉尅?/p>
新浪科技昨天下午致電北京12306客服,在溝通中客服顯然已經(jīng)知悉此次泄密風(fēng)波,并對(duì)新浪科技表示,所有12306的注冊(cè)用戶都會(huì)得到修改密碼的提示,并已經(jīng)委托運(yùn)營(yíng)商發(fā)送提示短信,用戶收到時(shí)間會(huì)有不同。顯然,這更像是一個(gè)托詞般的解釋。
風(fēng)波過(guò)后,值得反思的是,一場(chǎng)不應(yīng)被高估的泄密事件,為何演變成小小的恐慌?
回顧這個(gè)事件。烏云首先爆出漏洞,12306迅速作出回應(yīng),指責(zé)網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出。不僅如此,12306在聲明中建議“不要使用第三方搶票軟件購(gòu)票,或委托第三方網(wǎng)站購(gòu)票”,暗示泄露數(shù)據(jù)的就是第三方搶票軟件或者網(wǎng)站。
昨天下午這些第三方軟件紛紛對(duì)新浪科技表示無(wú)辜中槍。
從我們和其他機(jī)構(gòu)的分析來(lái)看,似乎的確與第三方無(wú)關(guān)。由此我們進(jìn)一步大開(kāi)腦洞猜想,也許這次的事件,會(huì)引發(fā)對(duì)第三方插件和網(wǎng)站的新一輪監(jiān)管。一直以來(lái),第三方的火車購(gòu)票服務(wù)就存在爭(zhēng)議,未來(lái)究竟會(huì)怎樣?一切還不得而知。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- GitLab將告別中國(guó)區(qū)用戶:是時(shí)候選擇新的“極狐”或保護(hù)賬號(hào)了
- 蘋果明年推至少22款新品,阿里非洲首站啟動(dòng),科技新品盛宴拉開(kāi)帷幕
- SUSE預(yù)測(cè):未來(lái)私有AI平臺(tái)崛起,讓我們共同見(jiàn)證AI的未來(lái)
- AI伴侶“小奇”:奇富科技重塑金融服務(wù)體驗(yàn)的探索之作
- 揭秘軟銀孫正義神秘芯片計(jì)劃:打造超越NVIDIA的未來(lái)科技新星
- 大模型創(chuàng)企星辰資本獲數(shù)億融資,騰訊啟明等巨頭入局,人工智能新篇章開(kāi)啟
- 大模型獨(dú)角獸階躍星辰融資新動(dòng)態(tài):數(shù)億美金B(yǎng)輪,揭秘星辰未來(lái)之路
- 哪吒汽車創(chuàng)始人資金遭凍結(jié),1986萬(wàn)元股權(quán)風(fēng)波引關(guān)注
- 本田與日產(chǎn)醞釀合并:明年6月敲定協(xié)議,新公司社長(zhǎng)待本田推薦
- 金融大模型新突破:百川智能Baichuan4-Finance引領(lǐng)行業(yè),準(zhǔn)確率領(lǐng)先GPT-4近20%,變革金融業(yè)未來(lái)
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。