文|AI财经社 实习生 张唯一
编辑|鹿鸣
6月13日,继A站发文称遭黑客攻击数据外泄、摩拜单车疑似遭到外泄后,中国铁路总公司官网“12306”也遭遇了躺枪。
13日下午,网络传言称,从2016年至2018年3月的3000万条12306网站数据疑似被泄露,其中包括“手机号、密码、支付密码、姓名、身份证号码、以及身份验证答案”等内容。
13日晚间,中国铁路总公司紧急回应称,经核查,该网站未发生用户信息泄露,网传信息与铁路12306网站无关。并提醒广大旅客,为确保个人信息安全请通过铁路12306官方网站和客户端购票,避免非正常渠道购票带来的风险。
四年前12306数据曾遭遇撞库
12306回应数据泄漏事件已不是第一次,早在2014年12月,“乌云漏洞”平台发布消息称大量12306用户数据在互联网上被传播售卖,包括帐号密码、身份证、邮箱等。目前已知公开传播的数据涉及用户数超过13万条。
对此,12306网站公告表示网站密码均经多次加密,网上泄露的信息是从其它网站和渠道流出。同时12306已经报警处理。
对于四年前这一事件,多位安全专家及网络安全机构均作出认定,数据有可能是黑客通过其他数据库“撞库”整理出来的。即黑客在其他平台上收集到已经泄露的用户名及密码信息,生成密码数据库,然后在12306网站尝试批量登录,得到一批可以登录的用户账号及密码。
多名乘客身份被抢票软件自动绑定
尽管12306发布公告迅速回应了这起“乌龙”事件,用户的反应,此次回应引起很多网友热议,表示并不会因此买账。接连反映信息被外泄的详细情况,一位叫“某田某菁芳”的网友表示,自己的帐号在12306买票多年,未丢过身份证也没有用过第三方软件抢票,但今年3月帐号莫名无法登录,电话查询12306客服被答复身份证已在1月注册,邮箱手机均有订票记录,原用户名也显示已占用。
AI财经社随后在网上搜索发现,网友” 某田某菁芳”遇到的情况绝非是个案,不少网友都有类似情况发生,而12306客服均回应表示没关系。
除12306本身或许还存在相应漏洞外,第三方抢票软件在2014年之后并没有所收敛,抢票软件数量、绑定信息量越来越多,并不断推出相关有偿选项。高铁管家抢票、智行抢票、飞猪等均可以自动获取12306用户帐号及密码帮用户代抢票。
6月14日,AI财经社在抢票APP“高铁管家”发现,新用户第一次登录绑定手机号后,该APP会自动获取该手机号在12306的乘车人信息,之后在此APP个人中心页面中会自动录入该手机号在12306添加的常用乘车人,即使这些相关乘车人未使用过此类第三方抢票软件,但该手机号曾帮购票的乘车人信息均被自动调入抢票APP中。同时抢票APP会默认绑定12306帐号,此前所有行程记录也可以在抢票APP中看到。即使退出该帐号,相关乘车人信息及行程记录仍然存在于抢票APP中。
在高铁管家抢票APP页面中,AI财经社发现,除了12306上面的信息外,在确认过乘车信息付款时,高铁管家页面会自动弹出两个选项,分别是先付票款自动出票、下单成功后再扣款。如果选择第二种付款方式,系统自动弹出支付宝免密支付页面并且只有同意免密才可完成交易。
这样一笔订单下来,高铁管家可以自动绑定12306、支付宝以及用户个人微信等相关信息,用户信息被泄漏的风险性自然就会有所提高。