2015年公务员时政热点:三问12306网站用户数据泄露事件
2015年公务员时政热点:三问12306网站用户数据泄露事件
身陷数据泄露事件的12306网站,终于开始悬赏征集漏洞。
12月25日,这家被广泛用于订购火车票的官方网站,被指流出约13万用户数据。其中包括姓名、身份证号、手机号、用户名、密码等敏感信息。
尽管铁路警方调查宣称事件由黑客“撞库”导致,数据并非从12306网站泄露,但12306网站的安全体系仍有完善的空间。
谁泄露,泄露了多少用户数据?
谁泄露了用户数据?泄露的数据总量有多少?在多位互联网安全人士看来,综合目前消息,极有可能是“撞库”导致数据泄露,且泄露的数据可能不止13万用户。
“撞库”是一种黑客攻击方式。黑客会收集在网络上已泄露的用户名、密码等信息,之后用技术手段前往一些网站逐个“试”着登录,最终“撞大运”地“试”出一些可以登录的用户名、密码。
显然,“撞库”成功的一个前提是,用户在多家网站注册的用户名、密码都相同。多位互联网安全人士经过分析,均认为此次事件“应该是撞库造成的”,“用户名、密码都没改”。
第三方网络安全机构“知道创宇”技术副总裁余弦告诉中国青年报记者,公司研究团队在几家网站2012年、2013年泄露的用户数据中抽取50个作为样本,与此次13万用户数据进行比对,“匹配度有100%”。
“猎豹移动”安全专家李铁军也表示,他们将前几年黑客圈流传出的上亿条泄露数据进行比对,“绝大部分都是和以往的库是重合的”。
12月26日,中国铁道总公司公开证实了这一点。公司官方微博称,铁路公安机关于12月25日晚将嫌疑人蒋某某、施某某成功抓获,嫌疑人通过手机互联网某游戏网站以及其他多个网站泄漏的用户名加密码信息,尝试登陆其他网站进行“撞库”,非法获取用户的其他信息,并谋取非法利益。
不过,李铁军推测,如果用以往那么大的数据量去“撞”12306网站,从理论上来说,泄露的数据或许不止13万条,“怎么着也是百万级别的。可能这13万用户的数据只是在黑色产业链非法交易中的一部分样本”。
【推荐】华图花新闻 一键关注 参与话题#国考面试时政热点# 花花带你看时政(国考面试备考:时政热点专题)