铁路 12306 网站否认发生用户信息泄漏

程六金
 程六金
发布于 2018年12月28日
收藏 6

有人在中文暗网交易网站 deepmix5e3vptpr2.onion(访问需要经过 Tor 且需要注册)发帖出售 12306 网站用户数据,数据包含了 60 万账户和 410 万联系人,包括了用户 ID、手机号、密码、身份证、邮箱、问题答案等等。价格很低,只需要价值 20 美元的比特币。

疑似被泄露的 12306 用户数据:

12306 是铁道部火车票官方售票网站,2014 年曾发生过用户数据泄露,但 12306 一直否认自己发生信息泄露。

对于刚刚发生的用户数据泄露,铁道部给出了与四年前几乎一模一样的回应

辟谣:网传信息不实,铁路12306网站未发生用户信息泄漏。铁路部门提醒广大旅客,请通过铁路12306官方网站(www.12306.cn)和“铁路12306”客户端(在“铁路12306”字体上方标有路徽和“中国铁路”字样的图标)购票,避免非正常渠道购票带来的风险。

不过从 12306 辟谣微博下面的评论来看,用户亲测可使用获取到的帐号密码进行登录:



此次 12306 事件,不知是真是假,但为了保险起见,还是建议大家:

1. 请尽快修改密码
2. 及时修改跟 12306 同密码的相关网站密码,防止被撞库造成二次伤害
3. 开通手机短信认证提醒,避免被别人撞库 
4. 不要使用不明来源的抢票软件购票,尽量使用 12306 官方网站购票

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:铁路 12306 网站否认发生用户信息泄漏
加载中

精彩评论

av
av

引用来自“红薯”的评论

有人说又是明文密码?
如果是明文密码,就是抢票工具记的了。。
张亦俊
张亦俊
如果要搞用户信息,做抢票工具比攻击12306容易得多,法律风险还小
开源大帅逼
开源大帅逼
那些助力抢票活动的坑
爱吃猫的鱼0313
爱吃猫的鱼0313

引用来自“开源大帅逼”的评论

那些助力抢票活动的坑
好像被腾旭疯了很多, 但是也有很多上当了
noonoo
noonoo
如果是真的,数量要*1000才合理。

最新评论(21

hanf
hanf
哈哈,发现现在没人敢随便鄙视12306了
eechen
eechen

引用来自“Skqing”的评论

4. 不要使用不明来源的抢票软件购票,尽量使用 12306 官方网站购票
这一点几乎不太可能了,现在为了回家都是水深火热,谁还在乎这账号丢不丢呢,说实话12306客户端做的烂是一方面,需求大是一方面,才有了第三方客户端,现在这些安全风险都让用户承担了。
第三方App抢票原理可能是:
第三方购票平台把票卡在付款阶段,第三方App一旦接到用户抢票需求,立马撤销付款然后帮其订票.
如果是这样,12306完全可以在用户取消订单后,随机延迟一段时间后再把票放回余票中,也就是延迟回票.
还有就是,除了登录,用户在下单时12306是不是也应该加上一层验证码呢?
eechen
eechen

引用来自“阿信sxq”的评论

mysql都能拼成msyql😂
说不定人家说的是微软的mssql呢?哈哈.

60万数据还明文密码,一看就是第三方抢票软件泄漏出去的数据.
打怪兽的汪
打怪兽的汪
没泄露?那就是外神通内鬼喽!
Skqing
Skqing
4. 不要使用不明来源的抢票软件购票,尽量使用 12306 官方网站购票
这一点几乎不太可能了,现在为了回家都是水深火热,谁还在乎这账号丢不丢呢,说实话12306客户端做的烂是一方面,需求大是一方面,才有了第三方客户端,现在这些安全风险都让用户承担了。
那位先生_
那位先生_
我记得很早以前就看见过45W账号密码在外公开下载的
u
unrealt84
应该就是抢票工具的库泄漏了
noonoo
noonoo
如果是真的,数量要*1000才合理。
c
crystalsis
12306早就在阿里的公关之下换到阿里云了,阿里云的云数据库被拖过库么?
喵星人123
喵星人123

引用来自“白豆腐徐长卿”的评论

标题党
哈哈
返回顶部
顶部