12306 脱库疑云：410 万用户数据仅售 20 美元！

|作者：优快云资讯

|来源：https://blog.youkuaiyun.com/csdnnews/article/details/85333650

年关了，幺蛾子格外多！

有微博用户称，12306用户登录信息被出售了！

     被挂出来售卖的，不仅有用户的姓名和电话，还有身份证、和注册时设置的问题以及问题的答案。

笔者获悉、并打码的泄露出来的用户信息

      由下图帖子可知，这份等待售卖的数据，涉及60万账号、410万联系人信息。但卖家的“售价”却低得可怜，只要20美元、合计137元左右，就可以买到这份数据！

     这份数据涉及的个人信息，不仅私密并且超级重要：ID、手机号、密码、姓名、身份证、邮箱、问题及答案等，都包含在里面。而安全问题，可用于通过申诉来获取其它平台账户的信息。

      更要命的是，这份数据还包括每个账户中，添加的联系人信息、姓名和身份证号。

      笔者随机用被泄露的用户的账号密码，登录12306，发现居然可以登上去！太可怕了！

      近几年，12306数据泄露的新闻曝出不少，12306官方也曾澄清过。但是本次数据之详细，让许多人都非常惊讶!

就在刚刚，中国铁路发微博称：

“辟谣：网传信息不实，铁路12306网站未发生用户信息泄漏。铁路部门提醒广大旅客，请通过铁路12306官方网站（www.12306.cn）和“铁路12306”客户端（在“铁路12306”字体上方标有路徽和“中国铁路”字样的图标）购票，避免非正常渠道购票带来的风险。”

     优快云 程序人生（ID：coder_life）就此事，采访了网易云安全（易盾）首席架构师沈明星，他表示，由于12306数据量远远大于400万，所以推断可能是第三方泄露的，比如一些抢票软件。而要保护安全，就得尽快修改12306密码，如果这个密码在其他网站使用，比如微博、支付宝等，也要一并修改。此外，不要把账号密码托管给其他三方软件平台，账号尽量开启二次验证机制。

     有说法认为，可能是QQ邮箱泄密的，因为大部分中国人只（都）有QQ邮箱。

     不过沈明星表示，邮箱可能性不大，因为通过邮箱，拿不到密保问题的答案。

12306已经不是第一次泄露数据了

     早在2014年圣诞节，漏洞报告平台乌云网出现了一则关于12306的漏洞报告，危害等级显示为“高”，漏洞类型则是“用户资料大量泄漏”。

     这意味着，这个漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露，而泄漏的途径目前还不知道。后来，该漏洞提交给了国家互联网应急中心进行处理。

那么，用户信息一般都是怎么被泄露的呢？

1. 安全维护不及时

    平台为了节约成本等原因，使用相似的源代码进行更改，以至于网站的数据管理模式落后、或存在缺陷。

     在这些使用相同源代码的网站中，只要有一个网站被爆出系统漏洞，作案者就可利用该系统漏洞，来获取到其他网站的相关数据。

2. 黑客进行撞库

     通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。

     很多用户在不同网站，使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户，从而尝试登录B网址，这就可以理解为撞库攻击。

     而不少用户隐私意识和数据安全意识不够强，总爱使用同一组用户名和密码，这些数据在一个网站被泄漏后，不法分子便可以通过这些公开的数据，对另一个网站上的数据进行撞库，借此很容易就能获取大量隐私数据。

3. 人为倒卖

     服务商们为了针对用户做定制化服务，往往需要在 APP、软件、网站服务的各个环节，获取用户的个人信息。这些数据信息经公司内部人员收集之后倒卖出去，比如支付宝 2013年的用户信息泄密，就是由支付宝的技术员工，下载用户信息之后再倒卖的。

我们该如何保护个人信息？

     对大多数普通用户来说，并没有能力去制止网站的泄密行为，但在我们的能力范围内，可以采取以下办法，来降低风险：

1. 手机设置密码有讲究

    现在的智能手机很多都标配了指纹识别，解锁还是很方便的（图形密码太简单，容易被陌生人瞄到）。

2. 重要网站、App 的密码要独立设置

     不要设置简单的数字和单词密码，Password或者123456这种密码，是最容易被黑客破解。与其信任你的记忆，不如信任一个复杂组合密码。

3. 不要在连接公共无线网络时登录账号

     连公共WiFi时，账号隐私（如 Cookies）会存在被监听盗取的可能性。这时有个技巧：用浏览器的隐身模式上网即可。   

4. 设置二次验证

     不管是邮箱还是社交账号都能够绑定手机号进行二次验证，比如我们最常用的 QQ、微信。这样即便服务商出现漏洞，黑客也无法通过获取的账户信息登录你的账号。

      最后，年关了，希望大家都不要遇到这样的糟心事，该买票还是要买票，过年可是大事！

推荐阅读

动态图展示Java常用数据结构的特点和基本操作

容器在 2019 年必将碾压 VMware！

Eureka常见问题汇总及注意事项

进阶Java架构师必看的15本书

为什么使用Portainer，而不是Docker CLI来管理Docker环境

MyBatis 与 Hibernate 的性能差异

AOP 那点事儿

微服务之间的通信的方式

图解菜鸟、普通、大牛、大神程序员，最后一张我笑了。。

docker编排参数详解（docker-compose.yml配置文件编写）

360搜索容器云探索与实践

要相信，使用这些类库，你和你的代码都会变得更好

跨域问题（CORS / Access-Control-Allow-Origin）

写文不易，你的转发、点赞、赞赏就是对我最大的支持

我们一起愉快的玩耍吧

目前40000+人已关注加入我们

       

       

“程序猿技术大咖”，您值得拥有！
公众号ID：cxyjsdk长按左侧二维码关注