“太可怕了,三年前注冊(cè)了一個(gè)12306網(wǎng)站的賬戶��,現(xiàn)在卻發(fā)現(xiàn)賬戶被人盜用����,常用聯(lián)系人里絕大部門都是不熟悉的人。”市民潘小姐非常震動(dòng)��,自己三年沒(méi)用的賬戶�,竟然被黃牛拿去刷票了,而且向鐵路部分�、110反映,也找不到原因��。
跟著春運(yùn)大幕開啟�,一些不常購(gòu)票的市民發(fā)現(xiàn)他們“沉寂已久”的12306賬戶信息中泛起了一個(gè)甚至多個(gè)素不相識(shí)的人:為什么黃牛會(huì)盯上這些“沉寂”的賬戶,這些賬戶又通過(guò)怎樣的渠道落入黃牛手中��?
無(wú)法刪除目生人信息
1月6日�����,之前在國(guó)外讀書的潘小姐嘗試在12306網(wǎng)站購(gòu)票��。“賬戶三年前就注冊(cè)了�����,但一直沒(méi)用過(guò)。這次原本打算和媽媽周末一起乘高鐵去姑蘇散散心��。”但登錄12306網(wǎng)站進(jìn)入個(gè)人賬戶后���,潘小姐驚奇地發(fā)現(xiàn)�����,她的常用聯(lián)系人列表中��,除了自己之外��,居然還有14個(gè)素不相識(shí)的人��,“我看了看名單����,春秋最大的60多歲了���,最小的才剛剛成年�����,而且身份證號(hào)碼也是來(lái)自全國(guó)各地的�。”
有朋友提醒潘小姐����,她的賬戶應(yīng)該是被黃牛盜用了,讓她趕快再查查賬戶信息��。潘小姐隨后再次點(diǎn)開了她的賬戶���,發(fā)現(xiàn)這些目生人信息是2016年12月14日通過(guò)12306官網(wǎng)審核��,批量加入到她的賬號(hào)之中���,“我查詢后發(fā)現(xiàn),正好就是春運(yùn)火車票預(yù)售前夕�����,看來(lái)是黃牛拿著我的賬號(hào)��,購(gòu)買春運(yùn)火車票賺錢��。”
潘小姐表示�����,原本想把12306的賬戶密碼更改一下繼承購(gòu)票就算了,反正也沒(méi)查到有什么損失�����,但更改密碼后����,自己卻無(wú)法刪除常用聯(lián)系人列表中那些目生人的信息。無(wú)奈之下�,她只能來(lái)到上海火車站的票務(wù)中央尋求匡助��。“我去了人工售票處的服務(wù)臺(tái)��,工作職員表示根據(jù)系統(tǒng)劃定���,要在2017年6月12日以后才可以刪除��,現(xiàn)在的辦法只有注銷賬戶再重新注冊(cè)一個(gè)新賬戶�。”
12306稱未泄露用戶信息
潘小姐隨后致電12306客服熱線�,想了解自己的賬戶到底是如何被黃牛盜用的?
“12306客服堅(jiān)稱,我的賬戶及相關(guān)信息不可能是12306網(wǎng)站泄露的�����,一定是在其他第三方網(wǎng)站泄露的����,還說(shuō)我這種案例并不少見(jiàn)�,詳細(xì)什么原因,客服也說(shuō)不上來(lái)���。”潘女士說(shuō)�,她的12306賬戶是在2014年注冊(cè)申請(qǐng)的����,由于當(dāng)時(shí)還在國(guó)外念書,注冊(cè)之后就沒(méi)有用其購(gòu)買過(guò)火車票��,“不外我在其他的論壇和應(yīng)用上的確用過(guò)12306的賬戶名及密碼���。”
記者咨詢了12306官方客服��,據(jù)客服先容����,像潘小姐這樣的賬戶被盜甚至密碼被篡改,可以通過(guò)驗(yàn)證的電子郵件或手機(jī)重置密碼�。但是根據(jù)常用聯(lián)系人的身份信息核驗(yàn)狀態(tài),標(biāo)注狀態(tài)為“已通過(guò)”�、“請(qǐng)報(bào)驗(yàn)”、“預(yù)通過(guò)”的常用聯(lián)系人在180天內(nèi)不能刪除�����,至于為什么要有180天的限制時(shí)間��,該客服聲稱這是劃定��,但詳細(xì)原因并不知情��。
此外����,該客服還表示,一個(gè)賬戶內(nèi)最多可以添加不超過(guò)15名常用聯(lián)系人��,“所以�����,像潘小姐這樣聯(lián)系人列表已滿的狀況,確實(shí)比較麻煩��,假如急著購(gòu)票�,只能到鐵路車站的服務(wù)窗口或相關(guān)代售點(diǎn)購(gòu)票。”
[新聞延伸]
“沉寂賬戶”更易被“撞庫(kù)攻擊”��,被盜后難被發(fā)現(xiàn)
業(yè)內(nèi)人士分析�����,黃牛確實(shí)有可能就是盜用了他人的“沉寂賬戶”�,這些賬戶由于長(zhǎng)時(shí)間不用�����,即使是被不法分子盜用了很難被發(fā)現(xiàn)���。
12306網(wǎng)站上線以來(lái)�,黃牛和官方的博弈就一直在進(jìn)行�。曾不斷泛起各種身份信息被搶注的情況,為防止黃牛利用他人身份信息惡性搶票��,2015年6月中旬���,12306網(wǎng)站發(fā)布公告����,稱將網(wǎng)站注冊(cè)用戶名下的“已通過(guò)”����、“請(qǐng)報(bào)驗(yàn)”、“預(yù)通過(guò)”常用聯(lián)系人(乘車人)累計(jì)上限由原來(lái)的100人調(diào)整為30人�����。隨后又不斷調(diào)整�����,現(xiàn)在上限調(diào)整為15人�。“這樣的話,黃牛假如想要多購(gòu)票�����,就需要更多的賬戶信息和本錢���。直接盜取‘沉寂賬戶’����,是最為直接的手段了。”業(yè)內(nèi)人士說(shuō)����。
而12306也泛起過(guò)安全題目。據(jù)了解����,早在2014年底的春運(yùn)搶票高峰期間,烏云漏洞平臺(tái)就發(fā)布高危害等級(jí)漏洞講演�����,講演顯示�,12306用戶資料疑似大量泄露�����,甚至有明文形式的密碼�����,以及身份證��、郵箱等敏感信息。隨即又有大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)上傳播售賣�����,包括用戶賬號(hào)��、明文密碼��、身份證��、郵箱等����。已知公然傳播的數(shù)據(jù)庫(kù)涉及用戶數(shù)約14萬(wàn)。
GeekPwn(極棒)實(shí)驗(yàn)室網(wǎng)絡(luò)安全專家宋宇昊表示��,像潘小姐這樣的“沉寂賬戶”被盜存在多種可能的原因:“好比說(shuō)她在其他平臺(tái)上使用的賬號(hào)密碼和在12306上使用的賬號(hào)密碼是統(tǒng)一個(gè)�����,那么別人就可以通過(guò)‘撞庫(kù)攻擊’ 的方法來(lái)獲得她的12306賬號(hào)密碼����。另外一個(gè)可能就是病毒,假如她在使用12306賬戶時(shí)�,終端里面有惡意程序���,她的賬戶信息也有可能會(huì)泄露。”
針對(duì)“撞庫(kù)攻擊”���,目前國(guó)外的一些互聯(lián)網(wǎng)企業(yè)已經(jīng)有了相應(yīng)的措施:“通過(guò)技術(shù)手段對(duì)異常登錄現(xiàn)象進(jìn)行持續(xù)監(jiān)控�,對(duì)‘撞庫(kù)攻擊’行為進(jìn)行分析辨別���,從而防止用戶信息泄露����。”宋宇昊以為����,像潘小姐這樣長(zhǎng)時(shí)間不使用的12306賬戶更輕易被“撞庫(kù)攻擊”,由于這些賬戶用的仍是老的用戶名和密碼�,沒(méi)有經(jīng)由修改,所以比起新賬戶或者活躍賬戶來(lái)說(shuō)�,它們?cè)跀?shù)據(jù)庫(kù)里的重合率一般會(huì)更高一些�,也就是說(shuō)“撞庫(kù)”的成功率會(huì)更高一些。不僅如斯��,這些“沉寂賬戶”基本都處于曠廢狀態(tài)��,被找回的可能性也更小,可以保證黃牛更長(zhǎng)時(shí)間�、更不亂地使用。
有人專門出售賬戶����,幾塊錢一個(gè),要多少有多少
那么�����,黃牛到底是從哪里得到了潘小姐的賬戶信息呢�?
記者從部門黃牛那里了解到,他們所使用的12306賬戶除了有用自己身份信息注冊(cè)的��,也有一些是買來(lái)的����。“5元一個(gè)買的,到現(xiàn)在還沒(méi)泛起過(guò)什么題目��,已經(jīng)用這些賬戶搶了不少票���。”一名黃牛說(shuō)�。
隨后���,該黃牛還向記者推薦了幾名專門出售12306賬戶的賣家�����。記者聯(lián)系了其中的多名賣家����,并表示想要購(gòu)買12306賬戶,一名賣家說(shuō):“10元一個(gè)�,要多少有多少。”另外一名賣家則把價(jià)格壓得更低���,但是要求要大批量購(gòu)入�����,“2.5元一個(gè)����,假如一次性購(gòu)買100個(gè)�,單價(jià)還可以再減掉0.5元。”
而當(dāng)記者詢問(wèn)這些賬戶都是從哪里來(lái)的����,該賣家支支吾吾地回答:“我們的賬戶都是定制的,用幾年都不會(huì)有題目�。多的不解釋,你自己想吧�����!”
賬戶還可以定制�?“定制”到底是什么意思?該賣家并沒(méi)有向記者解釋這些題目����,他只是保證這些賬戶不是搶注的,不用擔(dān)心被找回���。而像他這樣號(hào)稱能替別人“定制”賬戶的賣家�,記者在網(wǎng)上還找到了不少����。
宋宇昊告訴記者,安全是一個(gè)博弈對(duì)抗的過(guò)程���,即使平臺(tái)采取了良多措施�,攻擊者也有可能找到另外的方法來(lái)達(dá)到他們的目的。所以�����,任何平臺(tái)都不可能沒(méi)有安全漏洞�����,12306也不例外�。不外在安全性方面,第三方平臺(tái)比官方平臺(tái)泄露信息的風(fēng)險(xiǎn)更大����。“無(wú)論是從技術(shù)上仍是從責(zé)任意識(shí)上來(lái)講,第三方平臺(tái)肯定都沒(méi)有官方平臺(tái)那樣強(qiáng)����,特別是一些小平臺(tái),在保障用戶信息安全方面的投入肯定不會(huì)太多��。”
|
咨詢服務(wù)熱線:400-099-8848
