12306數據泄露原因曝光：手機APP漏洞導致“撞庫”

2015-01-27 10:27:57 大云網　點擊量：評論 (0)

12月26日消息，鐵路公安機關昨晚抓獲了12306網站泄密事件的2名犯罪嫌疑人，公安證實犯罪嫌疑人采用撞庫方式非法獲取12306的用戶數據。據360互聯網安全中心披露，12306之所以被撞庫，很可能是其手機APP漏洞導致的

12月26日消息，鐵路公安機關昨晚抓獲了12306網站泄密事件的2名犯罪嫌疑人，公安證實犯罪嫌疑人采用“撞庫”方式非法獲取12306的用戶數據。據360互聯網安全中心披露，12306之所以被撞庫，很可能是其手機APP漏洞導致的。360補天漏洞平臺發現12306手機APP登陸接口可被黑客惡意利用，無限次嘗試撞庫破解。360已第一時間將此漏洞通報12306進行修復。

    昨天，大量12306用戶數據在互聯網上售賣傳播，包含13萬余條賬號密碼、手機、身份證號、郵箱等私密信息。經中國鐵路公安證實，犯罪嫌疑人蔣某某、施某某通過收集互聯網某游戲網站以及其他多個網站泄露的用戶名加密碼信息，嘗試登陸12306等其他網站進行“撞庫”，非法獲取用戶信息牟利。

    12306網站之所以被黑客“撞庫”得手，根本原因是其賬號安全體系存在缺陷。補天漏洞平臺白帽子發現，12306手機APP的登陸接口存在漏洞，黑客可以輕易繞過其賬號安全防護措施，無限次嘗試自動登陸。此前網上流傳的13萬余條12306用戶密碼都是由黑客“撞庫”獲取，如此巨大的登陸請求數量，12306都沒有及時發現并進行屏蔽。

    360已將12306手機APP漏洞通報中國鐵路客戶服務中心進行修復，而12306數據泄露引發的安全危機仍在持續發酵。據360安全衛士監測，網上已出現木馬偽裝12306數據包，在網盤、聊天群共享中瘋傳，建議網友不可輕信下載；此外，12306連曝漏洞，買到火車票的用戶盡快取票，當心賬戶被惡意退票，同時也要警惕假冒鐵路工作人員的來電短信，以免遭遇詐騙。