12 月 28 日,Freebuf 称,“圈内又在传一张疑似12306泄露数据暗交易的图,春运抢票高峰还没到,黑产分子就已经出手了”。据称,这份数据包括 60 万账户信息,详细到除了ID、手机号、密码之外,连姓名、身份证、邮箱、问题及答案然都有,根据安全问题很可能能够直接申诉获取其它平台账户的重要信息。此外,还包括每个账户中添加的联系人信息,设计姓名及身份证号,这些联系人数据总量高达410万。
按照暗网兜售信息的老规矩,兜售者还给出了 50 条随机数据以供买家验证。
随后,铁总出来辟谣:
不过,吃瓜群众请注意,铁总出来辟谣,说的是铁路 12306 网站未发生用户信息泄露,并不代表此次用户信息泄露事件为假,按照安全圈的部分小伙伴验证,这些信息还真“对得上号”。
因此,一些媒体分析,此次在暗网出现的 12306 用户可能来源自第三方抢票软件,或者是不法分子撞库所得,但从多个渠道打听得知,基本可以排除第二个选项。
12 月 28 日, *** 尖刀团队创始人曲子龙在其公众号撰文称,“从合理性的角度出发,直接去撞12306,然后用机器人去绕他那个该死的验证码,说实话这种撞库产生不是不可能,但是经验告诉我们这个投入产出比不是特别的理性。我们几个小伙伴关联一下相关信息,把事件定位锁定在‘有可能是第三方的抢票软件被攻击’导致用户信息泄露从而致使数据泄露的可能性会更高些”。
曲子龙解释,用户在第三方平台上面输入12306的账户密码,因为第三方平台需要保持用户的持续登录状态,所以它要存储其账户密码的明文,同时因为要填写购票信息,所以也存储了一份用户的个人信息。
随后,曲子龙表示,其所在的团队溯源了六个多小时,根据目前这份数据,他们推测,有两种可能的泄露途径。“一是老库筛出来还能用的数据,但是这样成本其实挺高;二是我之前的观点第三方抢票软件泄漏,12306在11月初改版后已经没有问题和密保的字段,这份数据肯定不是新数据,某些抢票软件在之前是有记录过密保这个字段的,所以有一定可能,毕竟抢票软件不是今年才开始的。”
“从老库删选的新数据”这一推测与知道创宇首席安全官周景平(黑哥)的观点一致。不过,他强调,目前都是推测,“个人倾向于老数据清洗所得”。
360 *** 安全响应中心高级安全分析师韩昊晟表示,由于没有之前的历史数据不能判断重合率,但是通过数据量、售价(20$)、暗网中其他12306帖子的数据可以看出,应该不是官方泄露。“可能来自之前历史数据或第三方购票软件的数据。另外,从暗网的帖子看,最近不止这一个人出售。还是建议用户加强安全意识,通过官方渠道购票避免非正常渠道购票带来的风险。”
安全公司“数字观星”在其公众号透露,根据目前暗网的交易记录,已有 2 人付费购买。该公司定位到了疑似“卖家”的新浪微博。数字观星称,根据该博主的登录历史记录,即可以组成一条成型的证据,观星已经将相关证据提交给有关部门。
如果你在第三方抢票软件登记过相关个人隐私信息,以及在其他关键账户上设置了与12306账户类似的密码,以防万一,还是赶紧修改一把密码吧!