今天买春节前回南方的车票,登陆12306网站后看到安全提示信息,说是如果在其他网站使用相同密码,建议修改12306账户密码。上网一看,果然,个人信息又泄露了,这次规模还挺大,有四百多万条。
信息泄露名单是否有你?
原来,12月28日中午,有人在网上公开卖12306购票人信息,包括60万个账户信息,以及这些账户里的联系人信息,累计有大概410万条个人信息。卖方还在网上披露了部分帐号的信息,刚才随机试了试其中一个帐号,确实能够登陆,是真的。
这几年,春运期间仍然一票难求,于是衍生出大量的抢票软件和抢票网站,比如抢票王、抢票助手、极速抢票等等。这些软件和网站都有购票人的账户信息,再加上12306网站,所以很难分清购票人信息是从哪里泄露出来的。昨天晚上,中国铁路官微发布声明,称12306网站未发生用户信息泄漏。
那么,到底是哪个网站或软件泄露了购票人信息呢?
部分已泄露的购票人信息
从已经公开的部分帐号来看,账户信息包含用户名、密码、姓名、身份证号、邮箱、手机号、问题、答案这八大类。特别要说的是密码,是明文保存的,这是大忌。为了保护用户信息,现在很多网站基本上都用加密的方式存储密码,即使黑客攻破了网站或软件背后的服务器,也很难通过密文还原出真实的密码。所以,现在还明文存储实在是匪夷所思。
网上有人说,因为已披露的部分账户都使用qq邮箱,所以是从腾讯泄露出来的。这样的结论很难成立,一方面,目前还没看到完整版的泄露账户名单,是否所有账户都使用QQ邮箱?另一方面,即便拿到QQ邮箱,也很难看到用户注册时所选的问题和填写的答案。
接着说问题和答案的事,刚才试着从12306网站和铁路12306 app进行注册,可以填写的信息包括用户名、密码、姓名、身份证号、邮箱等等,登陆后台的个人信息页面,显示的也是这些内容,并没有问题和答案这两个项目。通过网络搜索可以发现,注册时选择安全问题、填写答案,应该是以前的事。
注册时可以写问题和答案
所以这些购票人信息是从哪里泄露,到底该由谁负责呢?目前还不清楚。对于正在或即将抢春运车票的朋友来说,现在大致可以做几件事:
一是修改12306账户的密码。试了试,修改密码需要手机验证码,所以即使你的账户在泄露名单里,理论上你还是可以登陆的。
二是在不同的网站或APP上使用不同的账户信息。通常遇到某网站信息泄露时,一些人喜欢用该网站的用户信息去其他网站测试,也就是俗称的撞库。
三是修改问题和答案。如果在其他网站也使用了相同的问题和答案,建议去更改,因为有些网站允许通过问题+答案的方式修改用户密码。
至于因修改、设置新密码而担心记不住,每个人都有自己的应对办法。不再赘述。
