12306用户信息泄露背后的黑色产业链(2)
泄露原因何在?
乌云网创始人邬迪告诉21世纪经济报道记者,12月25日上午10:59,在事件发生后,乌云网立刻进行了核查,在确认该消息的真实可靠性后对此事进行了发布。
不久后12306就在第一时间知道了此消息,并与乌云网取得联系,表示会认真调查此事,并在日后发布公告。
下午14:15,乌云网通过新浪微博发布了消息称,数据疑似黑客撞库后整理得到,而并非12306直接泄漏,请用户及时修改密码同时慎用抢票工具。
邬迪也对21世纪经济报道记者称,所谓“撞库”就是黑客通过收集网络上已泄露的用户名及密码信息,生成对应的“字典表”,到其他网站尝试批量登录,得到一批可以登录的用户账号及密码。
登录用户的后台后,可能存在邮箱、手机号码、身份证号码被泄露、账务积分和账户余额流失等多种风险。
“如果用户及时修改原始密码就可以规避撞库风险。”邬迪说,“但这并不等于自己的信息就完全安全了。”
邬迪告诉记者,除了撞库,还有另一种方式叫做拖库。黑客通过技术直接下载某平台的全部数据库。“但本次12306泄露可以排除拖库的可能性。”
在业内人士看来,“拖库”是指入侵有价值的网络站点,把数据库全部盗走的行为。盗取数据后,黑客会通过一系列的技术手段清洗数据,并在黑市上将有价值的用户数据变现交易,此为“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”。
浪潮电子信息安全事业部副总经理蔡一兵对21世纪经济报道记者称,“在互联网的黑市里有一个非常成熟的产业链,有一个非常成熟的形成利益过程:拖库、洗库和撞库。”
针对此次泄露事件的原因,360互联网安全中心的安全研究人员非常肯定地以书面方式回答21世纪经济报道经济的采访函时表示,“此次12306网站信息泄露是被黑客撞库造成的。”
其理由是,经过他们安全研究人员的调查发现,第一、几乎所有13万条12306账号密码,都可以在此前多家游戏网站泄露的密码库中匹配到相应的记录。说明黑客用多家游戏网站的密码库对12306发动“撞库”攻击,筛选出13万余条使用相同账号密码的用户数据。第二,通过对12306泄露数据中的相关用户进行抽样调查,超过半数没有使用任何抢票软件,其余则是使用不同的抢票软件。
在今天的泄露事件发生后,网上曾流传称,有18G的完整12306数据库被泄露,但是目前并没有人在网上找到过这个数据库。
泄露事件发生后,12306发布公告称网上泄露的用户信息系经其他网站或渠道流出,原因是12306网站使用的是多次加密的密码,而泄露的是明文密码。分析人士称,这也从另一个侧面说明,这些密码可能不是从12306网站泄露出去的。
据乌云官网发布的消息称,漏洞已交由第三方厂商国家互联网应急中心处理。12月25日,国家互联网应急中心人士对21世纪经济报道记者表示:“事件正在调查当中,结果以官网发布为准。”
一位网络安全研究人员对21世纪经济报道记者称,12306网站第一时间知道这个事情的,并发布了公告,但是几个小时过去了,那些用户名和密码还可以登录,并可能被用于更改他人密码、找到他人的电话号码,甚至帮人家退票,“他们为什么不紧急通过技术手段,短信通知用户,将泄露的用户密码强制更改或提醒客户更改?”