楚天金報訊 金報訊(記者楊彥夫)24日爆出的12306網站大量用戶私人信息外泄事件,於25日晚間被證實是黑客“撞庫”所致。25日晚間,中國鐵路官方微博發佈消息稱,當晚,鐵路公安機關將涉嫌竊取並泄露12306網站電子信息的兩名犯罪嫌疑人抓獲。
  經查,嫌疑人蔣某、施某通過收集互聯網某游戲網站以及其他多個網站泄露的用戶名加密碼信息,嘗試登錄其他網站進行“撞庫”,非法獲取用戶的其他信息,並謀取非法利益。同日,有購買車票的網民反映,因信息泄露,預訂的車票被人惡作劇退掉了。目前,案件正在審理中。
  據360互聯網安全中心披露,12306之所以被“撞庫”,很可能是其手機APP漏洞導致的。所謂“撞庫”,是黑客通過收集互聯網已泄露的用戶+密碼信息,生成對應的字典表,嘗試批量登錄其他網站後,得到一系列可以登錄的用戶信息。
  很多用戶在不同網站使用的是相同的賬號密碼,因此黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網站,這就可以理解為“撞庫”攻擊。
  網絡安全專家安揚表示,12306網站之所以被“撞庫”得手,根本原因是其賬號安全體系存在缺陷。12306手機APP的登錄接口存在漏洞,黑客可以輕易繞過賬號安全防護措施,無限次嘗試自動登錄。此前網上流傳的13萬餘條12306用戶密碼都是由黑客“撞庫”獲取,如此巨大的登錄請求數量,12306都沒有及時發現並屏蔽。
  鐵路公安機關提醒廣大旅客,在設置12306網站登錄密碼時,不要使用在其他網站登錄的密碼。
  (原標題:12306信息泄露原因查明)
arrow
arrow
    全站熱搜

    ak04akjhry 發表在 痞客邦 留言(0) 人氣()