12306数据泄露系遭撞库 专家支招管好密码
乌云漏洞平台披露,大量12306用户数据在互联上传播售卖。虽然12306回应称,上泄露的用户信息系经其他站或渠道流出,但根据360互联安全中心的研究分析,本次12306数据泄露是黑客撞库获取的,系12306站账号安全体系缺陷,与抢票软件没有任何关系。此次上流传的12306数据泄露包含13万余条记录,360互联安全中心的安全研究人员调查发现:1、几乎所有13万条12306账号密码,都可以在此前多家游戏站泄露的密码库中匹配到相应的记录。说明黑客用多家游戏站的密码库对12306发动“撞库”攻击,筛选出13万余条使用相同账号密码的用户数据。2、通过对12306泄露数据中的相关用户进行抽样调查,超过半数没有使用任何抢票软件,其余则是使用不同的抢票软件。说明此次12306数据泄露事件与抢票软件无关。3、今天有传闻说存在一个18G的完整的12306数据库,其真实性很可疑,目前没有人能证实此事。此外还有一个22G的版本,但无论是18G还是22G的“12306完整数据”,目前能下载的只是动画片。360安全专家安扬认为,12306站被撞库,说明12306账号安全体系仍需要进一步完善,尽可能及时发现并阻断黑客撞库攻击。所谓撞库是指用黑客通过收集络上已泄露的用户名及密码信息,生成庞大的密码库,然后到12306等站尝试批量登录,得到一批可以登录的用户账号及密码。安扬称,只要用户单独为12306设置密码,或者定期修改密码,就能避免受到此次事件影响。针对普通友,安扬建议:1)对于涉及用户重要隐私的账号,一定要单独设定,不与其他站账号相一致。防止一个账号密码泄露,影响所有账号安全;2)重要账号定期修改密码,每半年或者每个季度至少换一次,保证账号安全;3)除了银行站,著名的电子商务站之外,其他站都不要提交自己真实信息;4)切勿轻信陌生人来电和短信,对信息泄露引发的钓鱼诈骗保持高度警惕。