12月25日、国内の脆弱性報告プラットフォームであるWuyunの公式サイトは、ユーザーアカウント、プレーンテキストのパスワード、IDカードのメールアドレスなどの情報を含む12,306人のユーザーデータがインターネット上で大量に拡散していることを明らかにした。 12306ユーザーデータ流出事件について、国内のセキュリティ研究チームが報道の正確性を検証し、記事で言及されているサンプルデータを入手した。ファイル名は「12306メールアドレス-パスワード-氏名-ID-携帯電話(アフターサービスグループ:31109xxxx).txt」で、レコード総数は131,653件、ファイルサイズは14Mである。ランダムに選ばれたアカウントのバッチ(約 50 件)はすべて 12306 に正常にログインし、データが正確であることが証明されました。そこに表示されたプレーンテキストのユーザー パスワードについては、チームは当初、既存のユーザー データを使用して「データベースをクラッシュ」させるために使用されたと推測しました。 ユーザー情報の漏洩を受けて、12306の公式サイトはその後、調査の結果、漏洩した情報にはすべてユーザーのプレーンテキストパスワードが含まれており、12306ウェブサイトのデータベースにあるすべてのユーザーパスワードは、複数回暗号化された非プレーンテキスト変換コードであったという発表を出した。また、ユーザーのプレーンテキストパスワードは、サードパーティのチケット取得ソフトウェアによって漏洩したことを示唆した。 これまで、12306 には何度も抜け穴があることが暴露されてきました。今年1月には、12306チケット予約サイトが偽造パスポートや偽造身分証明書を使ってチケット予約を完了できるというニュースを一部のネットユーザーが報じていた。その後、12306号の抜け穴を悪用して、チケットの購入方法や上段・下段の選択に関するガイドがオンラインで転送されました。今年7月15日、五運は12306のチケット購入ソフトウェアに抜け穴があり、1人が1車両のチケットを購入できることを明らかにした。 12306 ウェブサイト自体の脆弱性に加え、近年出現した多数のサードパーティのチケット取得プラットフォームも、ユーザーデータ漏洩の潜在的な経路となっている。専門家によると、チケット購入を迅速化するために、サードパーティのプラットフォームでは操作中にいくつかの手順を省略する場合があります。ただし、これらのソフトウェアのほとんどはセキュリティテストを受けておらず、安全性を保証することは困難です。ユーザーは公式ウェブサイトからチケットを購入し、サードパーティのチケット購入チャネルの使用を避けるようにしてください。 現在、公安機関が捜査に介入している。 マイクロコメント:12306ウェブサイトのユーザーデータ漏洩は、12306ウェブサイト自体の脆弱性が原因で、ユーザーアカウント、IDカード、メールアドレスなどの情報が漏洩したのではないかと思います。その後、他の人がアカウントとメールアドレスを使用してCSDNとTianyaを比較し、平文のパスワードを取得しました。チケット取得ソフトウェアは通常、ユーザー ID カードなどの情報を保存しないため、ユーザー データが漏洩する可能性は低くなります。 続報:12月26日、中国鉄道の公式Weiboアカウントは、鉄道警察が12306号漏洩事件の容疑者を迅速に逮捕し、現在裁判中であると発表した。以下は公式発表の全文です。 鉄道公安機関は他人の電子情報を盗んだ犯罪容疑者を迅速に逮捕した 2014年12月25日夜、鉄道公安局は他人の電子情報を盗み漏らした疑いのある犯罪容疑者を逮捕した。捜査の結果、江容疑者と石容疑者は、インターネット上のゲームサイトやその他複数のサイトから漏洩した暗号化されたユーザー名情報を収集し、他のサイトにログインして「データベースをクラッシュ」させ、ユーザーのその他の情報を不正に取得し、不法な利益を得ようとしていたことが判明した。 鉄道公安当局は、乗客に対し、個人の電子情報のセキュリティを保護するために、12306ウェブサイトのログインパスワードを設定する際に他のウェブサイトと同じパスワードを使用しないこと、および第三者のウェブサイトを通じてチケットを購入しないことを注意喚起しています。 この事件は現在裁判中である。 原題: 12306人のユーザーデータが大量に流出 キーワード: |
<<: 複数のチケット奪取アプリが12306件のデータ漏洩に対応
>>: Apple、2014年のApp Storeで最も人気のあるアプリのリストを発表
最近の IT Times Weekly の記事で、周宏義氏は起業家精神に関連する 2 つの概念につい...
みなさんこんにちは。私は新しいウェブマスターのMemoryです。今日は、非常に現実的なテーマについて...
多くの初心者が SEO 最適化を行うとき、ユーザー エクスペリエンスの概念を知りません。ホームページ...
すべての SEO には独自の原則があります。もちろん、本物の SEO にとって、その原則とは何でしょ...
一般的に、ウェブサイト構築時に重複コンテンツを避けることは困難ですが、重複コンテンツは検索エンジンに...
データが王様である時代において、膨大なデータの保存、伝送、分析は特に重要になっています。データの保存...
crowncloud.net(運用開始)は、ドイツのフランクフルトデータセンターに新しいhenを導入...
w3space は 2009 年に設立された小規模な VPS プロバイダーです。主に openvz ...
「彼らは毎日、潜在的な犠牲者を探し、彼らを『肉』と呼んでいます。一度誰かを見つけると、グループで手配...
これまで私が実践してきた、パブリックアカウントの無料プロモーション手法をいくつか書いてみます。決まり...
6月22日のBaiduのKステーションは皆さんも覚えていると思いますが、この時はサイトが大規模にKス...
エッジ コンピューティングはエンタープライズ IT 戦略として勢いを増しており、組織は IoT ネッ...
月給5,000~50,000のこれらのプロジェクトはあなたの将来です10月19日、Tmallは201...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています1. コミ...
最近は個人のウェブサイトが増えており、ランキング付けがますます難しくなっています。多くのウェブサイト...