明天大数据和网络安全：12306被曝大量用户资料泄露

机锋网被曝泄露用户数据
2015年01月06日 01:59  京华时报  

　　京华时报讯(记者廖丰实记者蒋雅琛)昨日，名为“蓝猫超人”的白帽子向“漏洞盒子”提供编号为“vulbox-2015- hk01928 ”的漏洞数据验证，直指机锋论坛的2300万用户的信息遭到泄露。机锋网称，这些被指泄露的是属于2013年泄露的老数据，同时建议用户升级密码。

　　“蓝猫超人”表示，无法确认用户数据由机锋论坛直接泄露，但验证过程表明数据属实。网上流传机锋论坛用户数据包含用户名、邮箱、加密密码。

　　下午，机锋网通过微博回应称，这些被指泄露的是属于2013年泄露的老数据。机锋所有用户的密码均为多次加密的非明文转换码，网上泄露的用户信息并不能破解密码并盗取用户账号。机锋网表示已经展开深入调查，同时提示如有密码设置非常简单的用户可以将密码升级。

　　腾讯手机管家安全专家陆兆华分析，由于机锋网的用户以年轻用户为主，这些用户也都是网购、手机支付、网络游戏的主要用户群体，他们的个人信息泄露意味着更大的安全风险。

抢票APP火车票达人曝漏洞 泄露300万用户密码
2015年01月08日07:49  新浪科技 

　　新浪科技讯 1月8日早间消息，据360补天漏洞响应平台显示，国内流行的手机抢票APP“火车票达人”存在高危漏洞，包括数百万机票、火车票订单用户的身份证号、用户名、明文密码、详细票务信息等数据泄露。

　　360补天平台分析验证，证实“火车票达人”APP的数据库暴露在网络上，外网可以直接连接下载。补天平台立刻通知了“火车票达人”的开发厂商，对此漏洞进行紧急修复。

　　“火车票达人”由一个名为“移花互动”的团队开发，该团队还开发了多款iOS和Android版本的APP，包括“酒店达人”、“影讯达人”、“租车达人”等，主要提供一站式移动出行生活服务，包括预定酒店、机票、火车票、电影票、美食、租车等服务。

　　360补天平台负责人赵武表示，“移花互动”记录存储用户的明文密码，并且没有对数据库采取有效的安全防护措施，导致用户隐私信息处于危险境地。赵武呼吁，请广大网民谨慎使用此类缺乏安全保障的抢票软件，以免信息泄露。

　　赵武表示，凡使用过“火车票达人”相关APP的用户，应立刻修改自己在购票网站的密码；如果有其他重要账号设置了相同的密码，也应予以修改。(张楠)

外交部回应Gmail在华无法使用及索尼黑客事件

问：谷歌的Gmail邮件系统从上周末开始在中国无法使用，你是否了解原因？有在华外国商人依靠这个邮件系统进行交流，这一状况是否会影响他们在华经营环境？

　　答：我不了解你提到的情况，建议你直接向中方主管部门询问。

　　我想强调的是，中方对外国投资者在华合法经营一贯持欢迎和支持态度，我们也将一如既往地为外国企业在华开展合作提供公开、透明、公平的环境。

　　问：据CNN报道，美国南卡罗来纳州1名参议员接受采访时称，朝鲜对索尼公司发动如此大规模的黑客攻击，没有中方参与是无法想象的，至少中方对此是知情的。中方对此作何反应？

　　答：中方不允许任何外国或个人在中国境内或利用中国设施进行网络攻击。如发现此类行为，将依法严肃处理。美方有关人员的言论无助于问题的解决，也不利于在网络安全问题上的互信与合作。

12306是铁道部自己直属的铁道部信息技术中心做的。

用正规的ie,firefox,chrome浏览器,不用抢票软件,远离360之类的各种流氓软件 是普通网民防止个人信息泄露的最有效方法

我记得12306的系统是某家上市公司在做，会不会暴跌

黑客为何攻击微软和索尼：希望重视信息安全
2014年12月27日10:50  新浪科技

　　导语：美国科技资讯网站WinBeta周五刊文称，恶名昭著的黑客组织“Lizard Squad”于2014年12月25日对微软Xbox Live和索尼PlayStation Network发动了攻击。该组织曾宣布对以往的几次黑客攻击事件负责，不过此次黑客攻击是该组织发动的规模最大的一次攻击。WinBeta网站采访了该组织的成员，了解了他们的行动、动机，和未来的计划。

　　　　以下为文章全文：

　　WinBeta通过多种方式对被采访者的身份进行了证实，确认被采访者是Lizard Squad的核心成员。此次采访通过加密链接进行，而该组织此前曾在Twitter上发布消息称，没有任何方式去追踪到他们的行踪。在此次采访中，WinBeta了解了该组织一系列黑客攻击的方法和理念。

　　动机

　　Lizard Squad表示，此次对微软Xbox Live和索尼PSN的攻击最初只是一次玩笑，但最终发展成为了一次真正的黑客攻击事件。成功攻破这两大游戏网络表明，微软和索尼无力保护它们的用户，而它们的技术中存在真正的弱点。Lizard Squad宣称，他们的行动只是简单地导致这些游戏网络在短时间内下线，迫使微软和索尼升级各自的安全技术。

　　关于为何在圣诞节期间攻击微软和索尼，该组织表示，他们认为这样做将引发更多人的怒火，引起更多人的关注，从而迫使微软和索尼做出更大的反应。该组织也曾考虑过任天堂等其他公司，但最终没有对这些公司采取行动。该组织试图曝光当前存在的计算机安全问题，同时从中取乐。

　　Lizard Squad指出，如果他们想要摧毁经济，那么完全可以去攻击纳斯达克。不过，这并不是他们的目标。他们开玩笑地自称为“恐怖分子”，但并不认为他们非常邪恶。

　　信息安全问题

　　在采访中，WinBeta问到这样的问题：微软和索尼哪一家公司更容易攻击，而Lizard Squad的回答是微软。他们表示，索尼近期升级了信息安全功能，启用了一个全新的系统，导致黑客花了更多时间去完成攻击。另一方面，微软的信息安全技术则非常糟糕，在黑客眼中“几乎什么也算不上”。

　　关于将在多长时间内继续他们的攻击活动的问题，Lizard Squad表示，他们将继续这样做，直到这些公司从信息安全事故中吸取教训。该组织不愿对具体的时间表置评。(维金)

索尼再遭黑客攻击 在线游戏平台已瘫痪三天
2014年12月27日08:15  中国新闻网

　　中新社纽约12月26日电 索尼公司的在线游戏平台PlayStation在遭受近三天的瘫痪后，到26日下午仍未恢复。黑客组织“蜥蜴小组”(Lizard Squad)宣称对此负责。

　　从圣诞平安夜(24日)开始，索尼公司的在线游戏平台PlayStation和微软的游戏平台Xbox就遭到黑客攻击。到26日，微软的Xbox在线服务虽然有些功能仍受限，但基本已经恢复。

　　而索尼的PlayStation官方推特帐号则在美国东部时间26日下午两点半称，工程师仍在继续努力工作以解决客户遇到的网络问题。

　　索尼的游戏客户纷纷在网络上抱怨。有人说自己已经受够了，只好去玩单机游戏；有的人则说，“黑客以为他们攻击的是索尼，其实受害的是无辜的用户。”

 
　　自称为“蜥蜴小组”的黑客组织已宣称对此次攻击负责。此前，该组织也曾数次攻击过索尼和微软的游戏平台。

　　近期索尼公司成为黑客集中攻击的目标，员工邮件被入侵，大量公司文件被泄露。因为受黑客组织“和平卫士”的恐怖威胁，索尼还一度取消喜剧片《采访》(The Interview)的上映。

　　圣诞节期间，《采访》正式在美国部分电影院上映，同时也在Xbox等网络平台上提供收看服务。

　　据美国有线电视新闻网(CNN)报道，《采访》在圣诞节当天就斩获100万美元的票房，而且在互联网上被非法下载了75万次。

　　此前，美国联邦调查局称，朝鲜应对索尼被黑负责。而朝鲜的互联网在23日也曾因黑客攻击而长时间中断。

　　目前并没有明确证据显示，索尼的在线游戏平台遭受黑客攻击与《采访》上映有关。(完)

高铁安全人士:12306漏洞早已被发现一直未解决

本报记者 吴燕雨 陈宝亮 王峰 杨志锦 孙春芳 申剑丽 北京报道

　　这不是12306网站第一次发生用户信息泄露事件了，但是最大的一次。

　　12306官方网站当日公告称，经认真核查，此泄露信息全部含有用户的明文密码。12306网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。目前，公安机关已经介入调查。

　　12月25日上午10：59，乌云网发布漏洞报告称，大量12306用户数据在网络上疯狂传播。

　　而此时，正是春运购票的关键时刻，12306网站每天的访问量都很惊人。

　　乌云网创始人邬迪告诉21世纪经济报道记者，“这是乌云网历史上，第一次如此大规模的铁路用户数据泄露。”

　　据了解，本次泄露事件被泄露的数据达131653 条，包括用户账号、明文密码、身份证和邮箱等多种信息。

　　乌云网是一家专注于互联网安全漏洞报告的平台。邬迪介绍称，乌云网每天都会对各项数据进行监测，12306事件只是今天的一项内容。但此前，他们也曾报告过12306网站泄露用户信息的情况。

　　对这次用户信息泄露事件，网络议论热烈。有网友担心，这些泄露的信息是否包含购票过程使用的银行卡等信息等。专业人士建议，如果用户在其他网站也使用了12306网站同样的用户名和密码，应当修改密码。

　　多位接受21世纪经济报道记者采访的安全专家对此事件分析认为，这次很可能是黑客“撞库”行为造成的，而非12306网站直接泄露，但同样说明12306网站仍存在安全漏洞。不过，也有一些专家认为事件原因仍不明。

　　对于此事件的影响，中国政法大学传播法研究中心研究员朱巍分析称，如果12306是出于过失导致信息泄露，司法实践中会采用过错推定原则确定侵权责任，“即先推定12306存在过错，然后由12306举证，证明自己尽到了安保责任”，朱巍说。

　　泄露原因何在？

　　乌云网创始人邬迪告诉21世纪经济报道记者，12月25日上午10：59，在事件发生后，乌云网立刻进行了核查，在确认该消息的真实可靠性后对此事进行了发布。

　　不久后12306就在第一时间知道了此消息，并与乌云网取得联系，表示会认真调查此事，并在日后发布公告。

　　下午14：15，乌云网通过新浪微博发布了消息称，数据疑似黑客撞库后整理得到，而并非12306直接泄漏，请用户及时修改密码同时慎用抢票工具。

　　邬迪也对21世纪经济报道记者称，所谓“撞库”就是黑客通过收集网络上已泄露的用户名及密码信息，生成对应的“字典表”，到其他网站尝试批量登录，得到一批可以登录的用户账号及密码。

　　登录用户的后台后，可能存在邮箱、手机号码、身份证号码被泄露、账务积分和账户余额流失等多种风险。

　　“如果用户及时修改原始密码就可以规避撞库风险。”邬迪说，“但这并不等于自己的信息就完全安全了。”

　　邬迪告诉记者，除了撞库，还有另一种方式叫做拖库。黑客通过技术直接下载某平台的全部数据库。“但本次12306泄露可以排除拖库的可能性。”

　　在业内人士看来，“拖库”是指入侵有价值的网络站点，把数据库全部盗走的行为。盗取数据后，黑客会通过一系列的技术手段清洗数据，并在黑市上将有价值的用户数据变现交易，此为“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆，叫做“撞库”。

　　浪潮电子信息安全事业部副总经理蔡一兵对21世纪经济报道记者称，“在互联网的黑市里有一个非常成熟的产业链，有一个非常成熟的形成利益过程：拖库、洗库和撞库。”

　　针对此次泄露事件的原因，360互联网安全中心的安全研究人员非常肯定地以书面方式回答21世纪经济报道经济的采访函时表示，“此次12306网站信息泄露是被黑客撞库造成的。”

　　其理由是，经过他们安全研究人员的调查发现，第一、几乎所有13万条12306账号密码，都可以在此前多家游戏网站泄露的密码库中匹配到相应的记录。说明黑客用多家游戏网站的密码库对12306发动“撞库”攻击，筛选出13万余条使用相同账号密码的用户数据。第二，通过对12306泄露数据中的相关用户进行抽样调查，超过半数没有使用任何抢票软件，其余则是使用不同的抢票软件。

　　在今天的泄露事件发生后，网上曾流传称，有18G的完整12306数据库被泄露，但是目前并没有人在网上找到过这个数据库。

　　泄露事件发生后，12306发布公告称网上泄露的用户信息系经其他网站或渠道流出，原因是12306网站使用的是多次加密的密码，而泄露的是明文密码。分析人士称，这也从另一个侧面说明，这些密码可能不是从12306网站泄露出去的。

　　据乌云官网发布的消息称，漏洞已交由第三方厂商国家互联网应急中心处理。12月25日，国家互联网应急中心人士对21世纪经济报道记者表示：“事件正在调查当中，结果以官网发布为准。”

　　一位网络安全研究人员对21世纪经济报道记者称，12306网站第一时间知道这个事情的，并发布了公告，但是几个小时过去了，那些用户名和密码还可以登录，并可能被用于更改他人密码、找到他人的电话号码，甚至帮人家退票，“他们为什么不紧急通过技术手段，短信通知用户，将泄露的用户密码强制更改或提醒客户更改？”

　　为什么会有这么大的漏洞？

　　不过，邬迪称，“此事目前还无法下定论。”

　　在12306网站在发布上述提示公告时，还特别提醒旅客不要使用第三方抢票软件购票。这使得外界怀疑，此次泄露事件由第三方抢票软件而起。

　　一位长期研究刷票软件的人员告诉21世纪经济报道，目前抢票软件发展速度极快，但并不存在十分清晰的盈利模式，因此从第三方软件中泄露数据的可能性也依然存在。

　　一位从事软件程序开发的技术人员告诉21世纪经济报道记者，这类抢票软件的技术要求一般不高，如果第三方没有严格的保护措施，用户信息就存在不安全的隐患。

　　对于此，360公司相关人员书面回应称，360抢票王基于360安全浏览器，360安全浏览器的上网安全技术和措施都可以保障抢票王的安全。他们认为，此次12306数据泄露事件与抢票软件无关。

　　互联网安全专家更关心的是，如果真是撞库造成的泄露，12306网站为什么会留下这么大的漏洞？

　　“如果这次撞库发生在Google、微软身上，不可能成功。因为成熟的网站都会在登陆服务器时设置二次验证程序。国内很多网站为了节省成本，并没有设置这一道程序。” 猎豹移动安全专家李铁军对21世纪经济报道说。但是，目前并不清楚，此次漏洞是否与验证程序设置有关。

　　据一位对乌云网比较了解的专业人士称，12306网站从2012年2月开始，在乌云网上被披露的漏洞接近50个，其中涉及用户资料泄漏和敏感信息泄露的漏洞占7%，而还有44%的漏洞可间接导致信息泄漏，例如命令执行漏洞和SQL注射漏洞。

　　而这些被监测到的漏洞都持续了很长时间。这位专业人士称，他们也不明白为什么这些漏洞一直没有被补救。

　　360安全专家安扬也认为，12306网站被撞库，说明12306账号安全体系仍需要进一步完善，尽可能及时发现并阻断黑客撞库攻击。

　　据21世纪经济报道此前的报道， 12306网站由铁科院开发，铁科院是原铁道部下属的单位。

　　一位从事高铁安全行业的人士对21世纪经济报道记者称，其实早在之前，铁科院内部已经发现这一问题，但至今尚未完全解决，直到如今东窗事发。

　　黑色产业链

　　安扬对21世纪经济报道记者介绍，目前在互联网上公开流传的用户数据很多，仅2012年CSDN、天涯的泄露数据就超过2亿条，今年还出现了携程、如家、当当的泄露事件。

　　另据知道创宇旗下的网络空间搜索引擎ZoomEye统计，中国目前至少有13000台服务器存在破壳漏洞，全球大概有140000台主机存在风险。

　　知道创宇技术副总裁钟晨鸣称，最近三四年，国内持续泄露的互联网数据，国内总量级达到50亿条用户账户信息。 知道创宇是全球知名的互联网安全公司，其创始团队在互联网安全领域服务了十多年，不久前还承担了APEC期间新闻平台网络安全工作。

　　此外，腾讯手机管家安全专家陆兆华对21世纪经济报道记者表示，在互联网黑色产业链内部，成员还存在数据库共享的机制，非常容易就获取到不同平台被成功拖库的信息，而用户的敏感信息比如身份证信息、电话号码、常用密码都是相对不变的，一旦泄漏就会给用户造成持续的影响。

　　在此事件的发生上一周，由国家信息安全漏洞共享平台发布的信息安全漏洞周报显示，2014 年 12 月 15 日至2014 年 12 月 21 日，国家信息安全漏洞共享平台(以下简称 CNVD)本周共收集、整理信息安全漏洞 144 个。上述漏洞中，可利用来实施远程攻击的漏洞有 128 个。截至报告发布时间，已有 119 个漏洞由厂商提供了修补方案。

　　猎豹移动安全专家李铁军指出，中国的互联网化进程非常快，很多传统行业，比如政府、医疗、航空、保险等等，都采用信息化开发业务。但是，这些企业的安全意识转变并没有跟上，企业的安全管理、安全人才储备不足，很容易被攻击，造成信息泄露。“所以，有的客户刚刚订了机票，就收到机票相关的诈骗电话、短信。”

　　北京银库副总裁杜占源对21世纪经济报道记者表示，对于绝大多数的数据泄露来讲是因为网站自身存在安全漏洞引起的。目前很多非金融类的网站也进行实名制，但这些网站未必采取了很好的安全措施，一旦这类网站存在漏洞，用户身份证的关键信息必然泄露。

　　据央行制定的《银行卡收单业务管理办法》规定，“收单单位不得以任何形式储存银行卡的敏感信息”，但一些网站往往突破此规定。在携程网“漏洞门”事件中，携程网坚持没有过度搜集用户信息，其理由是：“未扣款成功的CVV码信息会被暂存7天，目的是协助用户便捷支付。”

　　12306泄露事件发生至今，尚未暴出泄露的个人信息中包括用户购票的银行卡信息。

　　泄露事件同样引起了对网络实名制的讨论。“韩国网络实名制半途而废的原因，就是无法解决大规模个人信息泄露问题”，中国政法大学传播法研究中心研究员朱巍说。他建议，我国网络实名制实行过程中，可以考虑规定商业网站无权保管个人核心信息，转由安保等级更高的公安部平台管理。

　　侵权责任如何划分？

　　2012年12月28日，全国人大常委会通过《关于加强网络信息保护的决定》后，网络个人信息保护有了法律依据。今年3月15日施行的新《消费者权益保护法》也增加了保护消费者个人信息的规定。

　　最新的司法依据是10月9日，最高法院公布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，其中首次列举了个人隐私的范围。

　　“泄露个人信息者一定要承担相应的侵权责任，问题是谁来承担”，朱巍告诉记者。

　　“如果是12306泄露，要区分为故意泄露还是过失泄露，故意泄露毫无疑问要承担侵权责任”，朱巍说，“在国外，故意泄露还可以区分为出于商业目的还是非商业目的，如果是商业目的要加大处分力度，但国内司法没有这样的区分”。

　　如果12306是出于过失导致信息泄露，司法实践中会采用过错推定原则确定侵权责任，“即先推定12306存在过错，然后由12306举证，证明自己尽到了安保责任”，朱巍说。

　　朱巍认为，如果存在12306作为开放平台，通过开放端口与第三方平台进行授权合作的情况，即使信息是经第三方泄露，12306也应承担连带责任。

　　“这几乎是整个互联网产业的‘通病’，比如用户注册了一家互联网服务，结果发现自己的信息被授权给了这家网站的合作方”，朱巍说。

　　他认为，哪怕用户在注册互联网服务时，对方已经提醒其个人信息可以授权转让给合作方，这也不能成为用户信息泄露时其免责的理由，“因为这是格式合同，用户如果拒绝就不能完成注册”，朱巍说。

　　只不过，承担连带责任的网站，可以按照和第三方网站的内部责任划分约定，向直接泄露信息的第三方追偿。

　　“最后一种情况是12306根本不知情，信息泄露源于不可抗力，但12306也要证明自己尽到了安保义务”，朱巍说。(编辑 谭翊飞 张凡 申剑丽)

12306分站下存在Strust2框架的远程执行漏洞


12306旗下6分站存在远程执行漏洞