中国领先的IT技术网站
51CTO旗下网站
三问12306网站数据泄露 可填补哪些漏洞?
12月25日，12306这家被广泛用于订购火车票的官方网站，被指流出约13万用户数据。其中包括姓名、身份证号、手机号、用户名、密码等敏感信息。尽管铁路警方调查宣称事件由黑客“撞库”导致，数据并非从12306网站泄露，但12306网站的安全体系仍有完善的空间。
作者：佚名来源：中国青年报| 14:02
身陷数据泄露事件的12306网站，终于开始悬赏征集漏洞。
12月25日，这家被广泛用于订购火车票的官方网站，被指流出约13万用户数据。其中包括姓名、身份证号、手机号、用户名、密码等敏感信息。
尽管铁路警方调查宣称事件由黑客&撞库&导致，数据并非从12306网站泄露，但12306网站的安全体系仍有完善的空间。
谁泄露，泄露了多少用户数据?
谁泄露了用户数据?泄露的数据总量有多少?在多位互联网安全人士看来，综合目前消息，极有可能是&撞库&导致数据泄露，且泄露的数据可能不止13万用户。
&撞库&是一种黑客攻击方式。黑客会收集在网络上已泄露的用户名、密码等信息，之后用技术手段前往一些网站逐个&试&着登录，最终&撞大运&地&试&出一些可以登录的用户名、密码。
显然，&撞库&成功的一个前提是，用户在多家网站注册的用户名、密码都相同。多位互联网安全人士经过分析，均认为此次事件&应该是撞库造成的&，&用户名、密码都没改&。
第三方网络安全机构&知道创宇&技术副总裁余弦告诉中国青年报记者，公司研究团队在几家网站2012年、2013年泄露的用户数据中抽取50个作为样本，与此次13万用户数据进行比对，&匹配度有100%&。
&猎豹移动&安全专家李铁军也表示，他们将前几年黑客圈流传出的上亿条泄露数据进行比对，&绝大部分都是和以往的库是重合的&。
12月26日，中国铁道总公司公开证实了这一点。公司官方微博称，铁路公安机关于12月25日晚将嫌疑人蒋某某、施某某成功抓获，嫌疑人通过手机互联网某游戏网站以及其他多个网站泄漏的用户名加密码信息，尝试登陆其他网站进行&撞库&，非法获取用户的其他信息，并谋取非法利益。
不过，李铁军推测，如果用以往那么大的数据量去&撞&12306网站，从理论上来说，泄露的数据或许不止13万条，&怎么着也是百万级别的。可能这13万用户的数据只是在黑色产业链非法交易中的一部分样本&。
&这次只是暴露了其中一部分的数据。&北京大学计算机科学技术系教授陈钟认为，&如果没有人揭露出来，公众、媒体可能也不清楚现在这个问题&。
与&撞库说&同时出现的，是对&抢票软件泄露数据&的猜测。12月25日，在警方公布抓获黑客之前，12306网站发表声明称数据系经其他网站或渠道流出，并提醒旅客&不要使用第三方抢票软件购票，或委托第三方网站购票&，以防止身份信息外泄。
然而，中国青年报记者在泄露的13万用户数据中随机拨打了18人的电话，共10人接受采访，他们均表示自己从未使用过第三方插件购票，有的甚至已将近一年未使用该账号。
李铁军分析，一些抢票软件有&离线抢票&的功能，存在一定风险或隐患。软件在电脑关闭之后，依然可以进行抢票，这意味着用户名、密码都交给了第三方。&这样的情况下，就增加了风险，当然，不能说就一定是他们有问题&。
他称，正常的抢票软件会遵守12306的规则，但一些小公司甚至黄牛开发的抢票软件&任何可能买到票的手段都会用到&，包括连接速度、破解验证码的速度。
他说，目前网上只公开了13万条泄露数据，除了撞库，是否还有其他原因，有待继续分析和警方调查。
陈钟认为，抢票软件能够成功抢票，说明系统里一定有正常的、可以使用的交互过程，&这里面可能还有其他方面的博弈，或者说管理上的博弈&。
陈钟强调，要以事实为依据，如果系统存在设计或管理缺陷，应该加以解决。
12306可填补哪些漏洞?
此次事件之前，在国内漏洞报告平台&乌云网&，12306网站2011年以来被网友指出约60处漏洞。其中，&验证码&问题是屡受诟病的漏洞之一。
验证码是用户登录时的一道关卡，只有用户名、密码、验证码都正确才可正常登录。如果验证码措施得当，即使黑客程序掌握了用户名、密码，&试&出其正确性的难度也大大增加。
余弦告诉中国青年报记者，在此次&撞库&事件中，12306存在易被&撞库&攻击的接口，该接口没做好安全防御，&原则上应该做好防御，比如，限制一个IP对这个接口的请求频率，超过一定频率或次数就应该采用验证码措施或屏蔽措施。&
知道创宇公司并非类似问题的唯一提出者。2014年1月，面对多位网友长期的漏洞提示，12306网站的厂商&中国铁道科学研究院&在乌云网答复网友&debbbbie&时坦言，&关于验证码的事情大家已经说得太多了，让你们受累&。
而在2013年12月，厂商在乌云网答复《12306弱验证码可被轻松识别》时还称，验证码搞复杂了，机器和用户都不好认，为了用户体验，公司选择简单验证码。
陈钟认为，高强度的安全措施肯定有高成本，一个系统应该设计到什么程度，安全性、方便性要有一个平衡。他相信，随着网络应用、安全风险的掌控逐渐深入，相应的身份鉴别措施会加强，方便性也会得到保障。
&从目前来看，这个系统在认证方面所做的要求还是比较低的。相比银行金融系统，比如说使用优盾或其他鉴别方式，它在辨别方面做得还是比较弱的。&陈钟说。
在李铁军看来，从网络安全角度来说，12306账号系统可以引入&手机验证码&的机制，仅仅是泄露了用户名、密码，也无法登录这个系统。
&当用户换了一台机器，或者换了一个城市，IP地址发生了改变，这个时候，像其他安全公司的大数据支撑一样，就应该判断出来这个用户的账号可能出现了安全隐患，这种情况下，登录是不是要验证用户的手机呢?我觉得加一道关可能会好一些。&他解释。
李铁军还发现，只要登录12306网站，就可以看到常用联系人的身份证、手机号等信息，&这方面是不是可以考虑做一个隐藏、技术处理?当这些用户需要修改的时候，才能看到它。第二重验证的时候才可以看到完整的信息，而不是一登录进去就能看到&。
陈钟说，对于用户个人，不要设置简单、长期不变的密码。不管系统提供了多强大的认证，这都是用户个人的基本安全措施。
为何公共部门多次发生信息泄露事件?
在此次事件公开之前，国内&补天&漏洞响应平台也发布了多起信息泄露事件。尽管有关厂商对此已经确认，但媒体鲜有报道。中国青年报记者发现，其中多起事件与政府部门有关。
泄露数据量最大的是&全杭州市2003年至今所有近90万名新生婴儿及近180万名父母敏感信息&，包括姓名、年龄、身份证、家庭住址等。12月24日漏洞被网友提交当天，浙江省卫生和计划生育委员会就确认了该漏洞。
此外，浙江省卫计委的12万名儿童及家长信息、南京车管所某系统的46万名学员信息等数据，也被网友作为漏洞提交，并得到当事厂商确认。
一系列信息泄露事件引起一些网友的猜想。多位人士告诉中国青年报记者，他们在网上报名国家、地方各类考试后，也经常收到推销所谓内部答案的垃圾短信。
公开报道中，组织部门对考生收到答案的答复通常是，官方没有泄露考生信息，请考生注意保护个人信息安全。
李铁军认为，目前，国内各行各业都希望把自身业务通过互联网技术加以改造，在此过程中，可能由于缺少安全方面的专业人才，便只提供了互联网服务，在数据保护和信息加密方面相对比较弱。
&我们现在看到的一些情况就是，普通网民的信息通过各种渠道被泄露出去的概率是非常高的。政府机关、学校，还有其他一些非互联网企业，刚刚开始把它的业务向互联网转型来做的时候，可能安全不是他们首先要考虑的事情，所以这就给一些入侵者造成了机会。&李铁军分析。
陈钟告诉记者，现在，医院、学校等政府部门、事业单位的一些系统大多是委托专业公司开发的，很难将&水平低&作为信息泄露的借口，&可能过去由于技术的缺陷，或是对这个不重视，会暴露一些问题。这在以前的信息泄露事件中也曾反映出来&。
陈钟说，我们国家现在实行信息等级保护制度，核心的部分在防控，不同等级有不同的要求，这个体系还是完善的，但要看具体的执行和管理，&这方面要加强整合和监督，特别是发生了问题要及时亡羊补牢&。
李铁军同样认为，管理机关要重视个人信息的保护，提供这些服务的开发者则应该多考虑安全方面的设计，因为个人信息泄露最终的受害者是网民，存储个人信息的单位基本上没有什么损失。
12306网站已走出了亡羊补牢的一步。12月27日，中国铁道科学研究院在&补天&平台中开始悬赏征集漏洞，截至发稿，一条漏洞的悬赏金额为1000元。
陈钟评价，采取类似的方式去发现弱点、补漏洞是可取的。12306网站还可以更多地与业界的专业人士、厂商合作，完善制度和系统，&关起门来自己做的方式还是需要改善，要适应现在更开放的互联网的环境&。
此前，曾有法学学者在接受中国青年报采访时表示，如果政府部门泄露的信息导致公民受到损失，可以申请国家赔偿。【编辑推荐】【责任编辑： TEL：（010）】
大家都在看猜你喜欢
头条热点热点头条热点
24H热文一周话题本月最赞
讲师：1825人学习过
讲师：13697人学习过
讲师：502人学习过
精选博文论坛热帖下载排行
本书系统地介绍了在Linux平台下用C语言进行程序开发的过程，通过列举大量的程序实例，使读者很快掌握在Linux平台下进行C程序开发的方法和技...
订阅51CTO邮刊手机收不到验证码_百度知道
手机收不到验证码
以前有来电通也收的到，交行的收的到，只有来电通，也打了移动客服问，都是鬼扯，说什么信号不好之类的，我想知道具体什么原因之前都可以收到，就是最近发现收不到银行的验证码，换了一个手机使，可以收到，中行的收不到，手机信息都清理了
我有更好的答案
您的手机长时间没有开机或者长时间处于信号不好的地方:20分钟)
　　3、与当地网关有关。由于在一些时间段内,当地短信量大造成短信中心繁忙。手机的短信息存储容量是有限的,如果您没有及时清除收到的短信息,将接收不到后续的短信息,建议删除短信息后再试手机认证时收不到验证码?
可能会因为以下几种情况:
　　1、手机的短信息存储已满,无法接收SP短信息等,可以及时和我们客服中心联络,留下您相应的手机号码,而且没有在腾讯信息中心注册;
　　2,会使发给您的短信息因为过期而失效。建议换一个地方试试;(验证串的有效时间是,短信可能会受影响,出现延迟或者丢失的情况,建议您可以换一个时间段稍后再试;
　　4、和运营商的短讯平台有关。有个别故障(出现订购不一致的情况),如:手机号属于新开通的号码段
采纳率：18%
把手机重置为出厂设置。
我的手机也一样，请问你的解决了吗？可以告诉我吗
格式化手机试试看吧。
1条折叠回答
为您推荐：
其他类似问题
您可能关注的内容
验证码的相关知识
换一换
回答问题，赢新手礼包12306手机双向验证码无效原因解析 官方：三种原因造成-闽南网
12306手机双向验证码无效原因解析 官方：三种原因造成
来源:TechWeb
　　12月2日消息，近期，旅客第一次在12306官网购票时会看到提示， 应尽早办理，完成手机认证。对此，不少网友表示，核验手机时收不到验证码，或验证码总是失效，迟迟未完成验证。
　　网友吐槽12306双向验证码无效 官方：号段问题
　　根据12306提示，旅客可使用注册时预留的手机号，向12306发送短信&999&，然后输入收到的验证码，就可完成手机信息的核验。双向核验完成后，就能正常购票。
　　在手机核验的过程中，一些网友很顺利就完成了验证，但也有一些网友吐槽&第三遍了还没有收到验证码&、&改不了邮箱，验证码还未输入就说输入验证码无效。&、&我看到的问题是验证完以后和验证前没有区别，所以害我又验证了一遍&、&我是收到验证码，输进去之后还提示让我输入验证码，输你妹啊，直接卸载&。
　　对此，12306客服解释称，可能是三种原因造成这种情况。一是号段的问题，&收不到验证码的原因很多，大部分是号段的问题，有的号段没开通这项业务。&二是系统延迟，&今天核验的用户太多了，现在还有几十位顾客在排队。&另外，这位客服表示，还有可能是12306系统已经发送过去了，但是用户没有收到。
　　12306称，铁路部门正在抓紧时间解决问题，并上报给技术部门。
　　中国铁路总公司表示，12306网站对注册用户手机可联络性进行核验，主要是为了保护旅客的个人信息安全，并将购票信息准确送达旅客。同时也是防止在春运售票期间囤票倒票。
　　中国铁路总公司在官方微博称，旅客可在看到提示三天之内随时核验，三天中未核验仍可购票。 手机核验业务开展后，12306网站为旅客提供新服务，开通手机号码直接登录功能。（周小白）
延伸阅读：
中国共产党第十九次全国代表大会18日至24日召开。
48小时点击排行榜注册12306帐号手机发信息999到12306怎么接收不到 为什么我手机注册1到12306怎么收不到信息
1、首先下载铁路12306软件，并且认清标示，铁路12306应用图标为蓝白底色，上方为红色的中国铁路路徽，路徽下方标有中国铁路字样，进入后点击下方我的12306...
请问订不了提示的是什么？哪一步不对？/article/cb5d5c2fe03c.html...
你先下载根证书，安装好后再注册。首页上有。
答: 嗯，还是很不错的，至少是投出来的票真实可靠，现在人工投票很火的，有什么都找人工投票
答: 慢慢弄。
我最开始只会装游戏；
后来中国有了网络慢慢跟朋友上聊天室聊天；
后来出了OICQ（现在叫QQ），又用那东西聊；
然后上联众玩在线游戏（棋牌类）；
答: 七十年代的计算机网络
X.25 分组交换网：各国的电信部门建设运行
各种专用的网络体系结构：SNA，DNA
Internet 的前身ARPANET进行实验运行
大家还关注
确定举报此问题
举报原因(必选)：
广告或垃圾信息
激进时政或意识形态话题
不雅词句或人身攻击
侵犯他人隐私
其它违法和不良信息
报告，这不是个问题
报告原因(必选)：
这不是个问题
这个问题分类似乎错了
这个不是我熟悉的地区