标签归档:12306

12306数据泄露事件为“撞库攻击”

2014年12月25日上午10点59分,WOOYUN平台有某网友发表一篇题为《大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等(泄漏途径目前未知)》的帖子,称当前有黑客获取了12306的所有用户信息并在一些黑客群体中进行流传、买卖。该文章立即引起了大量媒体、相关技术人员的关注及疯狂转发。

经过知道创宇安全研究团队第一时间验证了该消息的准确性,并获取到了该文中提到的样本数据,文件标题为《12306 邮箱-密码-姓名-身份证-手机(售后群:31109xxxx).txt》,共计131653条记录、文件大小14M。

经过初步推测该批数据的来源有三种可能性:黑客直接攻击网站;散播刷票软件等木马程序;利用现有用户数据进行“撞库攻击”。

知道创宇安全研究团队针对该批数据进行了紧急调查:

1、随机抽取了一批帐号(约50个)均成功登陆12306,证明了该批数据是准确的;

2、随机联系了该批数据中的多个qq用户,均反馈没有使用过抢票软件且近期没有购票行为;

3、经与群中人员进行交流,并未有人见过该批18G的全部数据,普遍认为该批数据为撞库所得,并不存在18G的12306全部数据。

4、安全人员搜索以往互联网上的数据进行了匹配,从17173.com、7k7k.com、uuu9.com等网站泄露流传的数据中搜索到了该批13.15万条用户数据,基本可以确认该批数据全部是通过撞库获得。

经过3个小时的调查,知道创宇安全研究团队经过仔细分析获得如下结论:

1、该批131653条的12306用户数据是真实的。

2、该批数据基本确认为黑客通过“撞库攻击”所获得。

3、当前网上并无18G的12306数据的流转迹象。

乌云安全平台报:12306用户数据库遭到泄露,一个是12306的网站被拖库,或是第三方抢票软件的公司被入侵导致数据库被拖库

2014年12月25日早上10点,乌云上出现了一个严重的安全漏洞信息—12306用户数据库遭到泄露,可能12306网站数据库泄漏,也有可能是抢票软件公司收集了用户的数据库导致泄漏。

QQ截图20141225150243.png

铁路最新回应:

QQ截图20141225151501.png

通过互联网上的一些社工论坛,我们确实发现了12306被拖库的一些踪迹,下图为某社工论坛上的截图:而且已经在网上有了一定的流传时间,目前已知最早的时间为12月16日。下图为某论坛上大家对该时间的讨论。

0.png2.png3.png4.png5.png

通过一些途径,我们终于到找了一部分疑似泄露出来的数据,数据主要包括了12306的注册邮箱、密码、姓名、身份证、手机。下图为泄露出来的部分数据。
对泄露出来的账号进行了一些登录尝试,发现前面库中10个账号全部能够登录。可见流出的密码库确实为真。
目前网络上流传有两个版本,分别是14M,18G,已经在地下黑产商中流传,怀疑密码泄露最大的可能性有两种,一个是12306的网站被拖库,另外一个是第三方抢票软件的公司被入侵导致数据库被拖。
由于12306上是进行实名认证的,且里面包含了大量的重要信息,包括身份证,手机号码,同时了解到身边很多朋友的12306的账号密码均与支付网站的密码相同。

因此建议大家,无论事件是否真实,马上修改手中与12306网站相同密码的其他账号信息,减少使用抢票软件。