人肉调查:12306泄密?一场被高估的恐慌

坏事传千里。

昨日突然爆出12306泄密事件:一份私下流传的文件中,包含13万用户的账号、明文密码、身份证、邮箱、手机号等敏感信息。一时之间,人心惶惶。

12306随后在回应中表示:泄露的用户信息系经其他网站渠道流出;也即否认与这次泄密有关。这是真的么?如果不是12306又该怪谁呢?

所以新浪科技决定,展开一次人肉调查:

从昨天下午开始,新浪科技根据泄密信息,随机抽查访问了80位有效用户,一一打电话过去询问、核实相关情况,并提示对方及时修改12306密码。

首先,我们要确认对方是不是12306的注册用户,有没有使用第三方购票服务。

结果显示在我们调查的80位用户中,只有11位用户确认使用过第三方软件进行过火车票预订,而绝大部分人使用的还是12306的官方网站或客户端订票。进一步,大约90%的受访用户表示,最近并没有登录过12306网站,也没有使用过第三方的抢票软件。

从这个抽样数据来看,很难得出第三方抢票软件泄密的结论。那么是12306自己的泄密?我们的调查同样也不支持得到这个结论。

不可否认,受访用户的手机号码和姓名都是一一对应的,这份泄密文件的真实度非常高。然而在我们的调查中,有用户向新浪科技表示,名单泄露的密码并不是自己最新的密码。一位用户明确告诉新浪科技,至少1个月前已修改过密码。还有5位用户的手机号码已经成为空号。

这些信息显示,此次的外泄的用户信息,肯定不是最新的。

还有一位用户的情况更值得注意。这位用户的相关信息就在此次12306泄密的文件中,据其回忆从未使用过第三方购票软件,而且他提供了一个重要的信息:此前“开房门”数据泄密事件时,自己的用户名和密码就曾暴露过,而12306的账户是那次事件后,他唯一没有修改密码的账户。

基于上述统计信息,我们产生了一个猜想:有黑客拿到之前泄露的账户和密码,到12306上进行登录测试,如果恰巧用户使用了同样的用户名和密码,那么黑客就进入到这个账户,进而获得身份证和电话等相关信息。实际上,后来也有其他机构发出同样的猜想。后面我们会提到。

所以,新浪科技根据抽查的样本,大致能得出这样几个结论:

1、已经泄密的数据库绝大部分数据都是真实的。

2、数据库肯定不是最新的。

3、这部分数据很可能是有人通过“撞库攻击”获得。也就是利用以前泄露的账号信息,尝试登录12306网站,并最终获得身份证号码、手机号等信息。

4、泄露的信息规模可能并不大,用户并不需要恐慌,但是出于安全考虑,还是建议修改一下密码。

在这次的调查中,我们还附带统计到一些有趣的数据:哪些第三方的购票服务用户较多。结果显示80位受访者中,11个使用过第三方服务,其中:5个使用360提供的火车票购票服务、2个用高铁管家、2个用猎豹浏览器、1个用携程,1个用去那儿。

刚才提到有机构也作出了结论,如下所述。

关于12306用户帐号、密码等敏感数据信息泄露问题,乌云方面通过抽查部分帐号验证后发现确实可以登录。乌云官方表示,目前通过白帽子分析,数据疑似黑客撞库后整理得到而并非12306直接泄漏,请用户及时修改密码同时慎用抢票工具。

安全公司——知道创宇的安全研究团队也与新浪科技得出了相同的结论,所谓的12306数据泄露事件实际是“撞库攻击”。

据报道,知道创宇随机抽取了一批帐号(约50个)均成功登陆12306,证明了该批数据是准确的;随机联系了该批数据中的多个qq用户,均反馈没有使用过抢票软件且近期没有购票行为;经与群中人员进行交流,普遍认为该批数据为撞库所得,并不存在12306全部数据。

最后,安全人员搜索以往互联网上的数据进行了匹配,从17173、7k7k、uuu9等网站泄露流传的数据中搜索到了该批13.15万条用户数据,可以确认该批数据全部是通过撞库获得。

不知道这个结论是否已被官方认可。在昨日新浪科技的调查中,80位用户中有两位表示收到过12306提示修改密码的短信,也就是说大部分用户没有得到这个提示。究竟什么样的用户能够得到12306的提示呢?似乎找不到一个恰当的解释。

新浪科技昨天下午致电北京12306客服,在沟通中客服显然已经知悉此次泄密风波,并对新浪科技表示,所有12306的注册用户都会得到修改密码的提示,并已经委托运营商发送提示短信,用户收到时间会有不同。显然,这更像是一个托词般的解释。

风波过后,值得反思的是,一场不应被高估的泄密事件,为何演变成小小的恐慌?

回顾这个事件。乌云首先爆出漏洞,12306迅速作出回应,指责网上泄露的用户信息系经其他网站或渠道流出。不仅如此,12306在声明中建议“不要使用第三方抢票软件购票,或委托第三方网站购票”,暗示泄露数据的就是第三方抢票软件或者网站。

昨天下午这些第三方软件纷纷对新浪科技表示无辜中枪。

从我们和其他机构的分析来看,似乎的确与第三方无关。由此我们进一步大开脑洞猜想,也许这次的事件,会引发对第三方插件和网站的新一轮监管。一直以来,第三方的火车购票服务就存在争议,未来究竟会怎样?一切还不得而知。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2014-12-26
人肉调查:12306泄密?一场被高估的恐慌
昨日突然爆出12306泄密事件:一份私下流传的文件中,包含13万用户的账号、明文密码、身份证、邮箱、手机号等敏感信息。一时之间,人心惶惶。

长按扫码 阅读全文