據烏云漏洞平臺曝料,大批中國鐵路客服中央12306用戶數據在互聯網上被瘋傳販售,泄露資料包含有用戶賬號、明文暗碼、地位證、郵箱等敏感信息,現在尚不清楚這些數據是從何道路泄露的。
據該漏洞曝料者、名為追尋的白帽子披露,這批12306數據先是在網上售賣,現在已變成公然散播。對此,中國鐵路客戶服務中央回應稱,經我網站認證審核,網上泄露的用戶信息系經其他網站或渠道流出,并叮囑勿用搶票軟件。現在,公安機關已經參與查訪。
《出金娛樂城每天經濟》從瑞星互聯網攻防實驗室獲悉,現在已經獲得該文件完整信息,14MB(兆)大小的文件中,泄露信息約有131653條,且用戶信息100%真實有效。同時,瑞星披露,在對12306網站安全監測時,發明6個子網站存在Struts2遠程監控漏洞,利用子娛樂城 online網站入侵主站是一種慣用手段,但因權限疑問不能確定泄密路徑。
13萬條真實信息遭泄露
從烏云平臺獲悉,這則關于12306網點的漏洞教導,危害級別顯示為高,漏洞類型則是用戶資料大批泄漏。教導描述在互聯網上瘋傳的信息,包含有用戶賬號、姓名、明文暗碼、地位證號碼以及郵箱等。泄漏道路未知,漏洞已經提交給了國家互聯網應急中央進行處理。
據瑞星完整獲取的遭到泄密的資料顯示,在14MB大小、名為《12306郵箱-暗碼-姓名-地位證-手機(售后群311xxxx)txt》的文件中,泄露信息有131653條,且用戶信息100%真實有效。
瑞星高等工程師唐威向《每天經濟》介紹,13萬條用戶數據也許只是冰山一角,瑞星同時獲取了另有一份疑似12306網站的泄露文件,現在正在檢測,該文件大小為22GB(千兆)。假如信息確定是用戶數據,初步推算泄密人數約為2億,不去除有人利用泄露信息贏利的可能。不過,截至發稿時,這些文件信息尚未得到確定。
中國鐵路總公司相關人士表示,12306網站為中國鐵路總公司信息專業中央主管,鐵總積年均強調遊客不要採用第三方搶票軟件進行惡意刷票,但現在經12306網站所出車票有80%是通過搶票軟件實現的,且該比例還在連續線上娛樂城遊戲技巧不斷提拔。
中國鐵路客戶服務中央也叮囑遊客,不要採用第三方搶票軟件購票,或委托第三方網站購票,以防範個人地位信息外泄。部門第三方網站開闢的搶票軟件中,有捆綁式銷售保險性能。
6個子網站存漏洞
依據瑞星互聯網攻防實驗室研究,信息泄露可能有三條路徑:一是12306網站自身出現疑問;二是第三方搶票軟件或插件出現信息漏洞;三是黑客用撞庫的方式獲取這部門用戶信息。
撞庫是指黑客采用此前其他平臺泄露的用戶信息,用自動化程序在12306大批登錄實驗,有相同賬號和暗碼勝利登錄即可獲取更多用戶信息。
內地互聯網公司大多出現過信息泄露事件,發作撞庫并不意外。唐威表示,瑞星在對12306網站安全監測時發明,12306主網站下屬包含有南邊貨物快運服務站、東北貨物快運服務站等6個子網站發明了Struts2漏洞,利用該漏洞入侵者可以獲取子網站控制員權限,并可以通過惡意代碼管理子網站服務器對主站進行跳板入侵獲取信息。
唐威進一步表示,可以肯定的是漏洞存在,管理子網服務器入侵主網站也是黑客慣用手段,夢想狀態下可以通過該漏洞贏得用戶信息,可是因權限不許可娛樂城出金問題測試,瑞星也不能確認這是信息泄密的路徑。
2024年7月17日,烏云漏洞教導平臺、SCANV網站安全中央等安全機構紛飛發出紅色警報:Struts2再曝高危漏洞,該漏洞陰礙到Struts20-2315版本,可直接導致服務器被遠程管理,引起數據泄露。蘋果、淘寶、京東、民生銀行在內的多家公司及金融機構網站查出該漏洞。
彼時,內地網站安全服務商SCANVCOM確定,進攻者可以利用該漏洞,執行惡意Java代碼,終極導致網站被完全入侵管理。
安全專家提示,12306網站數據泄露有可能出現衍生風險:郵箱被撞庫,更多個人信息因此被盜,手機號、地位證號被泄露,甚至涵蓋親朋信息。
據唐威介紹,泄露文件中大部門用戶采用了郵箱和163郵箱作為賬號,假如購票明文暗碼與一致,黑客同樣可以采用撞庫的方式登錄或者,容易造成更大損失,因此叮囑12306用娛樂城優惠存款戶盡快重設相關賬戶登錄暗碼,保衛信息安全。
