資訊中心

12306網站被曝存在個人敏感信息泄露安全隱患

2014-09-11來源:獵豹移動


 

十一國慶假期即將來臨,9月12日起迎來了今年第一個網絡訂票高峰,12306網站再次成為民眾矚目焦點。今日,有安全機構曝出,12306網站的賬號密碼找回機制存在較嚴重的安全隱患,易被他人盜號,12306網站中記錄的大量個人及常用聯系人的身份證號、手機號碼等敏感信息,均存在泄露的風險。

 

附“WiFi安全實驗之:盜取12306網站賬號”視頻鏈接:

 

 

金山毒霸聯合烏云網近日進行了一次安全實驗,安全工程師利用一部改造過固件可實現后臺監聽的路由器,創建一個假冒運營商提供的免費釣魚WiFi熱點“CMCC”。在人流量大的公共場所,很快就有數十人的移動設備自動連接上此釣魚WiFi,而此時他們的上網信息均可被監聽,包括電子郵箱的賬戶名和密碼均可以明文獲取!

 

實驗發現,用獲取到的郵箱賬號和密碼登錄,可直接進入郵箱,隨意瀏覽郵件內容和文檔。國內幾乎所有郵箱服務全部淪陷!而郵箱往往綁定了社交、網購等許多重要的網絡服務,攻擊者破解郵箱之后,還可以進一步威脅網民其他的信息和資產安全。

 

在上述實驗中,某網民的新浪郵箱就注冊了12306網站,工程師通過郵箱順利找回了賬戶密碼并成功登錄。12306網站中記錄的用戶真實的姓名、身份證號、手機號碼,以及大量的常用聯系人的真實信息,均遭到了泄露。別有用心的攻擊者利用這些身份信息、親屬關系,還可以破解更多帳號和服務,引發鏈式效應,甚至進行電信詐騙!

 

圖注:12306網站賬號被盜流程圖

 

其實,不僅12306網站,許多其他網絡服務都具有通過注冊郵箱找回密碼的機制。在上述實驗中,工程師利用這個方法還成功登錄了網民的亞馬遜賬戶,可以查看他的所有購物歷史記錄和收貨地址。但是,一些超級敏感和重要的網絡服務,比如支付寶,就采用了雙重或者多重驗證的更加安全的機制,找回密碼不僅需要注冊郵箱,還需要手機短信驗證碼等信息。

 

鑒于12306網站用戶量巨大,還記錄著個人及親屬的大量真實且敏感的信息,金山毒霸安全專家認為其現有的安全機制還存在提升的空間,提供了三點建議:第一,找回密碼需要手機驗證碼等其他輔助驗證機制;第二,身份證號、手機號等信息部分展示,中間變成“*”,只顯示前后4位;第三,登錄時進行數字證書驗證,登錄地點異常時,需要手機短信驗證。

 

安全專家還建議普通網民,盡量不要使用來歷不明的公共WiFi,更不要在連接公共WiFi的時候使用電子郵箱、網購、網銀等關鍵的網絡服務;家中的路由器后臺和WiFi連接密碼也應設置得復雜一些,減少被惡意攻擊和劫持的可能性;建議使用路由管理大師等工具免除被蹭網的風險。

 

 

更多>>免費殺毒下載

分享到: 復制地址 新浪微博 騰訊微博 QQ空間 朋友 開心網 人人網 百度空間 搜狐 網易 豆瓣 淘江湖 百度貼吧
上海11选5走势图爱彩 属虎的养猪能赚钱嘛 腾讯天天捕鱼 聚友贵州麻将上分 口啤赚钱 逛淘宝赚钱是真的吗 欢乐捕鱼人话费怎么打 在抖音发小视频怎么赚钱 梦幻西游2 赚钱攻略2015新年 v博娱乐苹果 电影发行公司赚钱 什么养殖项目最赚钱 云集代理商能赚钱吗 宏發彩票安卓 微视认证达人后怎么赚钱 美国赚钱国内 以太坊公司如何赚钱