12306數(shù)據(jù)泄露原因曝光：手機(jī)APP漏洞導(dǎo)致“撞庫”

2015-01-27 10:27:57 大云網(wǎng)　點擊量：評論 (0)

12月26日消息，鐵路公安機(jī)關(guān)昨晚抓獲了12306網(wǎng)站泄密事件的2名犯罪嫌疑人，公安證實犯罪嫌疑人采用撞庫方式非法獲取12306的用戶數(shù)據(jù)。據(jù)360互聯(lián)網(wǎng)安全中心披露，12306之所以被撞庫，很可能是其手機(jī)APP漏洞導(dǎo)致的

12月26日消息，鐵路公安機(jī)關(guān)昨晚抓獲了12306網(wǎng)站泄密事件的2名犯罪嫌疑人，公安證實犯罪嫌疑人采用“撞庫”方式非法獲取12306的用戶數(shù)據(jù)。據(jù)360互聯(lián)網(wǎng)安全中心披露，12306之所以被撞庫，很可能是其手機(jī)APP漏洞導(dǎo)致的。360補(bǔ)天漏洞平臺發(fā)現(xiàn)12306手機(jī)APP登陸接口可被黑客惡意利用，無限次嘗試撞庫破解。360已第一時間將此漏洞通報12306進(jìn)行修復(fù)。

12306數(shù)據(jù)泄露原因曝光：手機(jī)APP漏洞導(dǎo)致“撞庫”

    昨天，大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)上售賣傳播，包含13萬余條賬號密碼、手機(jī)、身份證號、郵箱等私密信息。經(jīng)中國鐵路公安證實，犯罪嫌疑人蔣某某、施某某通過收集互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個網(wǎng)站泄露的用戶名加密碼信息，嘗試登陸12306等其他網(wǎng)站進(jìn)行“撞庫”，非法獲取用戶信息牟利。

    12306網(wǎng)站之所以被黑客“撞庫”得手，根本原因是其賬號安全體系存在缺陷。補(bǔ)天漏洞平臺白帽子發(fā)現(xiàn)，12306手機(jī)APP的登陸接口存在漏洞，黑客可以輕易繞過其賬號安全防護(hù)措施，無限次嘗試自動登陸。此前網(wǎng)上流傳的13萬余條12306用戶密碼都是由黑客“撞庫”獲取，如此巨大的登陸請求數(shù)量，12306都沒有及時發(fā)現(xiàn)并進(jìn)行屏蔽。

    360已將12306手機(jī)APP漏洞通報中國鐵路客戶服務(wù)中心進(jìn)行修復(fù)，而12306數(shù)據(jù)泄露引發(fā)的安全危機(jī)仍在持續(xù)發(fā)酵。據(jù)360安全衛(wèi)士監(jiān)測，網(wǎng)上已出現(xiàn)木馬偽裝12306數(shù)據(jù)包，在網(wǎng)盤、聊天群共享中瘋傳，建議網(wǎng)友不可輕信下載；此外，12306連曝漏洞，買到火車票的用戶盡快取票，當(dāng)心賬戶被惡意退票，同時也要警惕假冒鐵路工作人員的來電短信，以免遭遇詐騙。

責(zé)任編輯：葉雨田

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊