12306购票账户竟有14个陌生人 回应称未泄露用户信息
随着春运大幕开启,一些不常购票的市民发现他们“沉寂已久”的12306账户信息中出现了一个甚至多个素不相识的人:为什么黄牛会盯上这些“沉寂”的账户,这些账户又通过怎样的渠道落入黄牛手中?
“太可怕了,三年前注册了一个12306网站的账户,现在却发现账户被人盗用,常用联系人里绝大部分都是不认识的人。”市民潘小姐非常震惊,自己三年没用的账户,竟然被黄牛拿去刷票了,而且向铁路部门、110反映,也找不到原因。
随着春运大幕开启,一些不常购票的市民发现他们“沉寂已久”的12306账户信息中出现了一个甚至多个素不相识的人:为什么黄牛会盯上这些“沉寂”的账户,这些账户又通过怎样的渠道落入黄牛手中?
无法删除陌生人信息
1月6日,之前在国外读书的潘小姐尝试在12306网站购票。“账户三年前就注册了,但一直没用过。这次原本打算和妈妈周末一起乘高铁去苏州散散心。”但登录12306网站进入个人账户后,潘小姐惊讶地发现,她的常用联系人列表中,除了自己之外,居然还有14个素不相识的人,“我看了看名单,年龄最大的60多岁了,最小的才刚刚成年,而且身份证号码也是来自全国各地的。”
有朋友提醒潘小姐,她的账户应该是被黄牛盗用了,让她赶紧再查查账户信息。潘小姐随后再次点开了她的账户,发现这些陌生人信息是2016年12月14日通过12306官网审核,批量加入到她的账号之中,“我查询后发现,正好就是春运火车票预售前夕,看来是黄牛拿着我的账号,购买春运火车票赚钱。”
潘小姐表示,原本想把12306的账户密码更改一下继续购票就算了,反正也没查到有什么损失,但更改密码后,自己却无法删除常用联系人列表中那些陌生人的信息。无奈之下,她只能来到上海火车站的票务中心寻求帮助。“我去了人工售票处的服务台,工作人员表示根据系统规定,要在2017年6月12日以后才可以删除,现在的办法只有注销账户再重新注册一个新账户。”
12306称未泄露用户信息
潘小姐随后致电12306客服热线,想了解自己的账户到底是如何被黄牛盗用的?
“12306客服坚称,我的账户及相关信息不可能是12306网站泄露的,一定是在其他第三方网站泄露的,还说我这种案例并不少见,具体什么原因,客服也说不上来。”潘女士说,她的12306账户是在2014年注册申请的,因为当时还在国外念书,注册之后就没有用其购买过火车票,“不过我在其他的论坛和应用上的确用过12306的账户名及密码。”
记者咨询了12306官方客服,据客服介绍,像潘小姐这样的账户被盗甚至密码被篡改,可以通过验证的电子邮件或手机重置密码。但是根据常用联系人的身份信息核验状态,标注状态为“已通过”、“请报验”、“预通过”的常用联系人在180天内不能删除,至于为什么要有180天的限制时间,该客服声称这是规定,但具体原因并不知情。
此外,该客服还表示,一个账户内最多可以添加不超过15名常用联系人,“所以,像潘小姐这样联系人列表已满的状况,确实比较麻烦,如果急着购票,只能到铁路车站的服务窗口或相关代售点购票。”
[新闻延伸]
“沉寂账户”更易被“撞库攻击”,被盗后难被发现
业内人士分析,黄牛确实有可能就是盗用了他人的“沉寂账户”,这些账户因为长时间不用,即使是被不法分子盗用了很难被发现。
12306网站上线以来,黄牛和官方的博弈就一直在进行。曾不断出现各种身份信息被抢注的情况,为防止黄牛利用他人身份信息恶性抢票,2015年6月中旬,12306网站发布公告,称将网站注册用户名下的“已通过”、“请报验”、“预通过”常用联系人(乘车人)累计上限由原来的100人调整为30人。随后又不断调整,现在上限调整为15人。“这样的话,黄牛如果想要多购票,就需要更多的账户信息和成本。直接盗取‘沉寂账户’,是最为直接的手段了。”业内人士说。
而12306也出现过安全问题。据了解,早在2014年底的春运抢票高峰期间,乌云漏洞平台就发布高危害等级漏洞报告,报告显示,12306用户资料疑似大量泄露,甚至有明文形式的密码,以及身份证、邮箱等敏感信息。随即又有大量12306用户数据在互联网上传播售卖,包括用户账号、明文密码、身份证、邮箱等。已知公开传播的数据库涉及用户数约14万。
GeekPwn(极棒)实验室网络安全专家宋宇昊表示,像潘小姐这样的“沉寂账户”被盗存在多种可能的原因:“比如说她在其他平台上使用的账号密码和在12306上使用的账号密码是同一个,那么别人就可以通过‘撞库攻击’ 的方法来获得她的12306账号密码。另外一个可能就是病毒,如果她在使用12306账户时,终端里面有恶意程序,她的账户信息也有可能会泄露。”
针对“撞库攻击”,目前国外的一些互联网企业已经有了相应的措施:“通过技术手段对异常登录现象进行持续监控,对‘撞库攻击’行为进行分析辨别,从而防止用户信息泄露。”宋宇昊认为,像潘小姐这样长时间不使用的12306账户更容易被“撞库攻击”,因为这些账户用的还是老的用户名和密码,没有经过修改,所以比起新账户或者活跃账户来说,它们在数据库里的重合率一般会更高一些,也就是说“撞库”的成功率会更高一些。不仅如此,这些“沉寂账户”基本都处于荒废状态,被找回的可能性也更小,可以保证黄牛更长时间、更稳定地使用。
有人专门出售账户,几块钱一个,要多少有多少
那么,黄牛到底是从哪里得到了潘小姐的账户信息呢?
记者从部分黄牛那里了解到,他们所使用的12306账户除了有用自己身份信息注册的,也有一些是买来的。“5元一个买的,到现在还没出现过什么问题,已经用这些账户抢了不少票。”一名黄牛说。
随后,该黄牛还向记者推荐了几名专门出售12306账户的卖家。记者联系了其中的多名卖家,并表示想要购买12306账户,一名卖家说:“10元一个,要多少有多少。”另外一名卖家则把价格压得更低,但是要求要大批量购入,“2.5元一个,如果一次性购买100个,单价还可以再减掉0.5元。”
而当记者询问这些账户都是从哪里来的,该卖家支支吾吾地回答:“我们的账户都是定制的,用几年都不会有问题。多的不解释,你自己想吧!”
账户还可以定制?“定制”到底是什么意思?该卖家并没有向记者解释这些问题,他只是保证这些账户不是抢注的,不用担心被找回。而像他这样号称能替别人“定制”账户的卖家,记者在网上还找到了不少。
宋宇昊告诉记者,安全是一个博弈对抗的过程,即使平台采取了很多措施,攻击者也有可能找到另外的方法来达到他们的目的。所以,任何平台都不可能没有安全漏洞,12306也不例外。不过在安全性方面,第三方平台比官方平台泄露信息的风险更大。“不管是从技术上还是从责任意识上来讲,第三方平台肯定都没有官方平台那样强,特别是一些小平台,在保障用户信息安全方面的投入肯定不会太多。”
相关阅读:
协警倒卖公安内网公民个人信息 获利1.5万被抓
协警倒卖公安内网公民个人信息 获利1.5万被抓 自身是交警队协警,却利用工作便利,使用中队民警手中的公安数字认证书,从公安内网搜集个人信息2000余条,非法倒卖并获利15000元。该协警王某被安徽警方抓获,洛川县交警大队对其予以辞退,同时县交警大队及县……[更多]
个人信息泄露该如何维权?
北京盈科律师事务所 :个人信息泄露该如何维权? 随着社会的不断发展进步,人们逐渐进入了大数据时代和信息时代,一不留神,个人信息就会泄露,近年来,个人信息泄露事件层出不穷,给人们的生活造成了一定的影响。比如会收到垃圾短信、垃圾邮件以及骚扰电话等……[更多]
非法购买出售数万条个人信息获刑
近日,江苏省南京市鼓楼区人民法院对两起侵犯公民个人信息案作出一审宣判,被告人陈某、曹某因犯侵犯公民个人信息罪,分别被判处有期徒刑七个月、六个月,并各处罚金。两名男子均具有大学文化,一人收购、出售公民个人信息8万余条,一人收购公民个人信息7万余条。……[更多]
侵犯公民个人信息罪的理解与适用、案例
侵犯公民个人信息罪的理解与适用、案例 刑法修正案 ( 九 ) 将刑法第 253 条之一修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并……[更多]
电商代秒族调查:类似黄牛党 或成个人信息泄露源头
电商代秒族调查:类似黄牛党 或成个人信息泄露源头 今年的双十一开始前,不少网购达人已早早把购物车装满,只等着11月11日凌晨那一刻开始抢购。实际上,如今双十一的战线被拉得更长,淘宝、京东、亚马逊等多家电商平台早已陆续推出了赠优惠券、秒抢等相关活……[更多]
《网络安全法》:泄露个人信息 网络诈骗要追责
《网络安全法》:泄露个人信息 网络诈骗要追责 十二届全国人大常委会第二十四次会议7日表决通过了网络安全法。这是我国网络领域的基础性法律,明确加强对个人信息保护,打击网络诈骗。该法自2017年6月1日起施行。 据了解,网络安全法的出台先后经过了全国人……[更多]
手机定位银行流水都能查 个人信息如何被倒卖
手机定位银行流水都能查 个人信息如何被倒卖 只要付款,不仅可以随意查别人的银行流水,甚至可以查开房记录、手机定位等私密信息。7日,湖北警方通报,根据相关线索,警方发现了一家涉嫌网上倒卖、交易个人信息的商务咨询公司,成功抓获8名涉案犯罪嫌疑人。……[更多]
京华时报:保护个人信息就是保护基本权利
京华时报: 保护个人信息就是保护基本权利 10月31日,提请全国人大常委会二审的民法总则草案增加一条规定:自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息。这传递了中国将继续强……[更多]
| 京ICP备11019063号 | 
