12306 用户信息被叫卖,官方回应为第三方泄漏

(给程序员的那些事加星标


集成整理:程序员的那些事(ID:IProgrammer)


网传 12306 泄露用户数据


12 月 28 日,有人在暗网发帖叫卖 12306 网站用户数据,数据包含了 60 万账户和 410 万联系人,包括了用户 ID、手机号、明文密码、身份证、邮箱、问题答案等等。价格很低,只需要价值 20 美元的比特币。


此外,发布者公布了 50 名旅客信息,供买家查询验证。



疑似被泄露的 12306 用户数据:




12306 官方回应,第三方泄露


28 日下午,中国铁路总公司官方微博发布信息称,网传信息不实,铁路12306网站未发生用户信息泄漏。提醒广大旅客通过铁路 12306 官方渠道购票,避免非正常渠道购票带来的风险。




28 日傍晚,新京报记者致电 12306 官方客服,其表示网传账号密码等信息为旅客登录第三方平台(非官方购票平台)时泄漏,建议信息被泄漏的旅客及时更改账号、密码,通过官方平台购票。


有网友和记者根据网帖中提供的 50 份用户信息,成功登录了 12306 网站。




总结划一下重点


1. 叫卖帖所涉及的 12306 用户信息,经网友和记者测试应属实;

2. 12306 官方回应是这些信息是第三方泄露的;

3. 被泄露的信息中,有明文密码,还有相应的密保问题及答案;(引出一个问题:为啥第三方渠道会有密保问题和答案)


IT 技术圈的讨论


第三方抢票软件,是需要用户自己填写用户名和密码的,是否要密保问题及答案,我不清楚。我以前一直是在 12306 官网买火车票的,没用过第三方抢票,所以在微博问了一下:


根据用过的网友回复:第三方抢票软件不需要密保。



另外一位网友
black cat 提到的一种可信性:


一旦其他人拿到用户名和密码后,Ta 就能登录 12306,把包括密保问题及答案的所有信息拿走。


@殷迦南:


说一下自己的想法: 1、12306明文密码可能性为0,不可能泄漏明文密码 2、有密保信息的很可能是前几年泄漏的就数据 3、12306如果真泄漏,就不会只是这么一点点 4、第三方泄漏以及被撞库的可能性较大  所以基本还是站12306的!


安全圈大佬 @余弦


据悉,本次疑似 12306 泄露的库,QQ 邮箱占比 74.1%,网易邮箱占比 21.2%,毫无悬念的占比。基本定论是第三方抢票类软件的泄露,而非 12306 自己的泄露。


第三方安全,有的时候,真不是自己可以控制的...



安全圈大佬 @tombkeeper


那个号称卖 12306 数据的,发布信息时用了新浪的图床。然而新浪图床的 URL 中其实隐含了用户 UID 信息。所以可以根据图片 URL 找到发布图片所用的账号。不过看那个微博内容不太像干黑产的,也许是账号被盗用了。卖库的人手上有很多微博账号也并不奇怪。


从新浪图床 URL 获得发布者微博地址的代码网上有很多例子,这是我见过的最简洁的一个实现,短短十几行处理了两种情况:



还有网友提到:12306 应该拦截异地登录,以免信息进一步泄露。



此次 12306 事件,无论真假,但保险起见,建议大家:


1. 请尽快修改密码;
2. 及时修改跟 12306 同密码的相关网站密码,防止被撞库造成二次伤害;
3. 开通手机短信认证提醒,避免被别人撞库 
4. 通过你信任的渠道购票;


(参考:新京报、开源中国、微博)


推荐阅读

(点击标题可跳转阅读)

12306:验证码只有最热门车次才会出现

12306 Bug:同一张身份证,买了同一车次的两张票

12306 给自家技术团队打 90 分



关注「程序员的那些事」加星标,不错过圈内事

喜欢就点一下「好看」呗~

关键词:信息 用户 第三方 三方 第三 密码 官方 泄漏 泄露 问题

相关推荐:

限制第三方抢票软件?12306终于“下手”了

火车票争夺战:第三方抢票软件的灰与白

12306发大招!第三方抢票软件被"封杀",网友炸了

铁路部门限制了第三方软件,但这样就能让用户都用12306吗?

12306发大招 第三方抢票软件被封杀网友评论炸了

春运车票为谁“秒空”?第三方软件的困与危

12306 旅客信息被公开出售,官方回应为第三方泄漏