就在刚刚,漏洞报告平台乌云漏洞发布报告称,12306 网站上用户帐号、明文密码、身份证和邮箱在内的数据在互联网上疯狂传播,报告中显示危害等级显示为“高”,漏洞类型则是“用户资料大量泄漏”。
乌云在报告中透露,目前泄露的数据包括,包括登录账号、密码、信用卡信息、购买记录、常用联系人的电话及身份证号。乌云还补充道,数据已在传播售卖,但目前无法确认是 12306 官方还是第三方抢票平台泄漏。
目前漏洞危害等级被标记为“高”,状态显示为“已交由第三方厂商(CNCERT 国家互联网应急中心)处理”。同时乌云已经将该漏洞通知给中国铁道科学研究院,正在等待其处理。
虽然目前情况尚不明确,但是根据乌云发布的信息来看,为了保证自己的数据安全,使用 12306 的朋友可以考虑立马修改密码了。这个时候,最悲催的也不过如此:票抢不到,还要面临自己私密信息被肆虐传播。
截至目前,12306 暂未对此事进行回应。
更新:
针对乌云发布的报告,12306 发布《关于提醒广大旅客使用 12306 官方网站购票的公告》回应称,此泄露信息全部含有用户的明文密码,系经其他网站或渠道流出。12306 还强调,公安机关已经介入调查此事。
以下为 12306 声明全文:
针对互联网上出现“12306 网站用户信息在互联网上疯传”的报道,经我网站认真核查,此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。
我网站郑重提醒广大旅客,为保障广大用户的信息安全,请您通过 12306 官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止您的个人身份信息外泄。
同时,我网站提醒广大旅客,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请广大旅客注意。
中国铁路客户服务中心
2014 年 12 月 25 日