12306用户信息泄露

  • 来源:深信服安全中心
  • 发布时间:2015-05-11
#

事件描述

    2014年12月25日中午,漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告,危害等级显示为“高”,漏洞类型则是“用户资料大量泄漏”。 据了解,这则关于12306的漏洞报告,危害登记显示为“高”,漏洞类型则是“用户资料大量泄漏”,这个漏洞将导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息面临泄漏威胁。 

    泄露信息全部含有用户的明文密码,中国铁路客户服务中心回应称,12306官方网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息疑似经其他网站或渠道流出。

专家解读

    12306数据泄露将有可能衍生以下风险:

    1、邮箱被撞库(黑客拿12306泄露的用户名密码去尝试登录邮箱),更多个人信息因此被盗;

    2、因手机号身份证号行程被泄露,骗子可能以退票为借口行骗;

    3、因12306的数据实际包含亲友信息,可能导致事件的影响面极大;

    4、受害者遭遇恶作剧,预订的火车票被恶意退票。

解决方案

    1、不要使用第三方抢票软件购票,或委托第三方网站购票;

    2、立即修改12306登录密码,尽快修改登录12306时使用的邮箱密码,邮箱服务和12306网站服务一定不要使用相同的登录密码。