查看: 21824|回复: 43

12306上演“圣诞惊魂”:14万条用户数据库为何遭泄露?

[复制链接]
论坛徽章:
127
茶鸡蛋
日期:2012-01-16 14:24:41鲜花蛋
日期:2012-06-06 14:48:18双黄蛋
日期:2013-01-07 21:07:482013年新春福章
日期:2013-02-25 14:51:24优秀写手
日期:2013-12-18 09:29:082014年新春福章
日期:2014-02-18 16:44:08马上有对象
日期:2014-02-18 16:44:08马上加薪
日期:2014-03-18 09:57:11马上有车
日期:2014-03-20 16:13:24马上有房
日期:2014-03-20 16:14:11
发表于 2014-12-25 16:58 | 显示全部楼层 |阅读模式

话说今年圣诞节,还没等到圣诞老人送礼物,12306就上演了“圣诞惊魂”。据乌云漏洞平台曝光,大量12306用户数据在互联网疯传,包括用户账号、明文密码、身份证、邮箱等敏感信息,据乌云漏洞平台曝光。据名为“追寻”的白帽子披露,这批12306数据先是在网上售卖,目前已变成公开传播,连他自己的敏感数据也在其中。从乌云网评论来看,这批数据涉及用户约14万个。那么这些用户信息是怎么泄露的呢?中国铁路客户服务中心回应称,此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。


很多抢票软件在春运期间都在经历一场与12306网站之间的”暗战“,不过,频频秀出新功能的抢票软件,如何防范用户隐私泄露仍让人不太放心。用户在搜狗浏览器的购票窗口里使用12306网站的账户和密码登录,点击“预约抢票”,填写好相关车票信息提交预约单后,在发票当天,软件就会自动帮助已预约的用户进行抢票,一旦成功立即短信通知用户。很多用户预约信息被放到云端,这样用户在离网状态下,也能在指定时间搜索票。


使用抢票软件的朋友购买火车票时,可能网页上会出现弹窗:“您可能正在使用第三方抢票插件,请卸载后进行正常访问。”会不会瞬间觉得很纠结?不用抢票软件可能买不到票,用了又会遇到隐私泄漏等安全性问题。您怎么看?抢票软件与12306网站之间是否能寻求一种平衡?


       话题讨论:

1. 稍微专业一点的网站,密码都是密文存储的,就算第三方复制了整个数据库,又能咋地?可怜的12306,难道你养了内鬼?

2.年关将至,抢票软件上演最后的疯狂,谁又能商业的背后没有猫腻呢?我说有抢票软件在钓鱼,你服不服?

3. 就算数据库采用最火的加密算法MD5,网络是HTTPS的,抢票软件商也是良心大大的,各个服务器的请求中转等等,这些中间环节,谁又能保证一定是没有问题的?元方,你怎么看?

4.世上没有绝对的安全,出了问题也不意外。当务之急,不是去刺激人家12306,而是想想,该如何减轻对用户造成的影响。毕竟,年是要过的,别搞得赔了夫人又折兵,那就太亏了。您说呢?


活动时间:2014年12月25日-2015年1月10日

活动奖励:言之有理者将获得社区徽章一枚,另优质回帖者将获得技术图书一本。


作为国内数据库与大数据领域最大规模的技术盛宴,2015第六届中国数据库技术大会(DTCC)即将于2015年4月16日-18日在北京新云南皇冠假日酒店震撼登场。大会以“大数据技术交流和价值发现”为主题,云集了国内外顶尖专家,共同探讨MySQL、NoSQL、Oracle、缓存技术、闪存技术、国产数据库、Hadoop、数据挖掘、推荐系统、机器学习等领域的前瞻性热点技术。大会届时将吸引3000多名IT人士参会,举办120多场精彩演讲,致力于为数据库人群、大数据从业人员、广大互联网人士提供最具价值的交流平台。


想知道如何捍卫数据库安全吗?2015中国数据库技术大会将紧扣技术热点,专门安排了数据库安全与审计专场,同时秉承理论结合实际的原则,大会期间将邀请高校开展学术坐堂和动手实验专场。目前大会门票处于最佳打折期,欢迎大家报名参会:http://dtcc.it168.com/


111.jpg


获奖会员:
Darren_Guo获得图书一本
社区羊年系列徽章一枚


论坛徽章:
244
2015年新春福章
日期:2015-05-28 10:58:322015年新春福章
日期:2015-03-19 09:32:472015年新春福章
日期:2015-03-06 11:58:182015年新春福章
日期:2015-05-21 11:46:522015年新春福章
日期:2015-05-22 13:32:002015年新春福章
日期:2015-06-25 14:26:362015年新春福章
日期:2015-07-01 17:15:212015年新春福章
日期:2015-07-01 17:15:212015年新春福章
日期:2015-07-01 17:12:082015年新春福章
日期:2015-05-18 13:50:34
发表于 2014-12-25 18:00 | 显示全部楼层
本帖最后由 xkf01 于 2014-12-26 09:28 编辑

1. 稍微专业一点的网站,密码都是密文存储的,就算第三方复制了整个数据库,又能咋地?可怜的12306,难道你养了内鬼?
都有可能的。。。现在不好说,看警方怎么说,我们将就着听吧。
2.年关将至,抢票软件上演最后的疯狂,谁又能商业的背后没有猫腻呢?我说有抢票软件在钓鱼,你服不服?
有可能啊,肯定服。  
3. 就算数据库采用最火的加密算法MD5,网络是HTTPS的,抢票软件商也是良心大大的,各个服务器的请求中转等等,这些中间环节,谁又能保证一定是没有问题的?元方,你怎么看?
谁都不能保证的。这也是云ERP什么的近期不可能会有大进展的主要原因。
4.世上没有绝对的安全,出了问题也不意外。当务之急,不是去刺激人家12306,而是想想,该如何减轻对用户造成的影响。毕竟,年是要过的,别搞得赔了夫人又折兵,那就太亏了。您说呢?
不管最终警方的结论如何,自己先改邮箱密码,改12306的登录密码, 然后尽可能把一些不会用到的身份证号等信息删除掉。
自己的信息安全第一!!!!


使用道具 举报

回复
论坛徽章:
16
祖国65周年纪念徽章
日期:2014-09-30 10:02:10秀才
日期:2015-08-06 13:55:212015年中国系统架构师大会纪念徽章
日期:2015-07-31 17:48:202014系统架构师大会纪念章
日期:2015-07-31 17:48:202013系统架构师大会纪念章
日期:2015-07-31 17:48:202012系统架构师大会纪念章
日期:2015-07-31 17:48:202011系统架构师大会纪念章
日期:2015-07-31 17:48:202010系统架构师大会纪念
日期:2015-07-31 17:48:202009架构师大会纪念徽章
日期:2015-07-31 17:48:20秀才
日期:2015-07-31 12:41:14
发表于 2014-12-26 15:07 | 显示全部楼层
1. 稍微专业一点的网站,密码都是密文存储的,就算第三方复制了整个数据库,又能咋地?可怜的12306,难道你养了内鬼?
答:数据库被黑的可能不大,如果被黑,泄露的数据量估计会更大。不排除有内鬼的可能。国产机构的应用程序,不排除数据库密码是明文存放的,因为在国企项目的验收把关大部分都是胡扯。
2.年关将至,抢票软件上演最后的疯狂,谁又能商业的背后没有猫腻呢?我说有抢票软件在钓鱼,你服不服?
答:我认为这是最大的可能,抢票软件可以获取到用户的完整登录信息,国内各种流氓软件也是屡见不鲜,而且对于一个免费的软件,在安全上的投入肯定不会太大。
3. 就算数据库采用最火的加密算法MD5,网络是HTTPS的,抢票软件商也是良心大大的,各个服务器的请求中转等等,这些中间环节,谁又能保证一定是没有问题的?元方,你怎么看?
答:绝对的安全应该是靠健全的法律,因为没有一个不存在破绽的技术。
4.世上没有绝对的安全,出了问题也不意外。当务之急,不是去刺激人家12306,而是想想,该如何减轻对用户造成的影响。毕竟,年是要过的,别搞得赔了夫人又折兵,那就太亏了。您说呢?
答:12306是不会被刺激的,他系统再烂,你还是得通过他买票,他系统那么烂,但系统开发的价格却是天价,这些都是刺激用户的,什么时候会刺激到12306.

使用道具 举报

回复
论坛徽章:
2
2011新春纪念徽章
日期:2011-02-18 11:42:49知识
日期:2015-03-10 11:52:27
发表于 2014-12-28 22:44 | 显示全部楼层
我的在里面也有,可以肯定的是,我没用过抢票软件。

所以,原因就很明显了。

我今天收到了12306让改密的短信,我在网友提供的网址查了一下,确实查到了自己的信息。所以,我们大家都要小心啊。

使用道具 举报

回复
论坛徽章:
101
itpub13周年纪念徽章
日期:2014-11-06 15:29:09itpub13周年纪念徽章
日期:2014-10-08 15:19:55秀才
日期:2015-10-08 17:57:58水瓶座
日期:2015-10-13 16:00:20ITPUB14周年纪念章
日期:2015-10-26 17:23:44秀才
日期:2015-12-14 15:02:13天蝎座
日期:2016-02-02 13:28:27秀才
日期:2016-02-18 09:24:302016猴年福章
日期:2016-02-18 09:31:30天枰座
日期:2016-02-22 14:38:02
发表于 2014-12-29 15:46 | 显示全部楼层
个人感觉存在以下几种情况
1、很多人在不同的网站使用相同的用户名密码。这也是没有办法的事情,太多密码记不住啊!这是实情!
2、内部泄露,这事也很难说。我们有个系统的密码就是MD5的,但是有个三方,很牛叉的三方,需要的必须是明文密码,没办法只能存两份,一份明文一份密文。这种情况密码泄露加大。而且很多公司检查的时候会把自己描述的多么多么有条理,制度多么的完善,而实际上很多人都可能访问核心信息,泄露也就不足为奇了!
3、关于安全。世上就没有绝对的安全,有人的地方就有江湖,反之有人的地方就不安全。能做到相对的安全就已经很不容易了!

使用道具 举报

回复
论坛徽章:
1
知识
日期:2015-03-10 11:52:27
发表于 2014-12-29 19:41 | 显示全部楼层
个人感觉,问题存在第三方抢票软件的可能性很大,每到过年过节回家,铺天盖地的抢票软件就会出现,不能不说抢票软件确实给大部分人带来了益处,拿到了回家的“通行证”,但是不能排除有些心怀不轨的抢票软件把大家的明文直接存下来另谋他用,这种方式很容易获取大家的明文。
还有多网站用相同账号和密码的问题一直以来就是一个关注的问题。现在我们一天就可能在几个网站上注册账号,不用相同的密码,导致自己都记不得当时的密码了,如果用相同的密码又会出现一个密码泄露所有的账号都不安全的问题。大家可以考虑使用自己的固定密码和网站的域名做一个运算,用得到的结果做最终密码。不过这种方式也存在一定问题:1.网站改域名。 2.做什么运算,有可能得到的结果不符合网站的要求。3. 运算是否太复杂导致不在电脑旁边无法算出自己的密码。

使用道具 举报

回复
论坛徽章:
277
马上加薪
日期:2014-02-19 11:55:14马上有对象
日期:2014-02-19 11:55:14马上有钱
日期:2014-02-19 11:55:14马上有房
日期:2014-02-19 11:55:14马上有车
日期:2014-02-19 11:55:14马上有车
日期:2014-02-18 16:41:112014年新春福章
日期:2014-02-18 16:41:11版主9段
日期:2012-11-25 02:21:03ITPUB年度最佳版主
日期:2014-02-19 10:05:27现任管理团队成员
日期:2011-05-07 01:45:08
发表于 2014-12-25 19:40 | 显示全部楼层
今天我在CSDN专家群里讨论过,我觉得有几种可能:
1)前两年CSDN、天涯等用户数据被一窝端后的结果
理由:很多人喜欢用同一用户名/密码登录多个网站,那么泄露出来的用户数据库就可以作为字典在12306做登录测试……
2)第三方抢票软件
第三方抢票软件很多是个人开发的,你在使用的时候,用户名/密码都是明文提供的,它给你做个备份,悄悄传到指定的服务器。抢票软件流传的越广,那么泄露的用户数据就越多。
3)密码的处理方式
如果密码只使用了一致性哈希,那么这个密文是可以通过字典给查出来的。还应该多谢手段才行,比如加salt之类的。
……

使用道具 举报

回复
论坛徽章:
27
奥运会纪念徽章:帆船
日期:2012-08-20 12:43:44凯迪拉克
日期:2013-08-26 14:03:02日产
日期:2013-11-01 07:56:26日产
日期:2013-12-16 11:46:38劳斯莱斯
日期:2014-02-14 09:36:542014年新春福章
日期:2014-02-18 16:44:08马上有对象
日期:2014-02-18 16:44:08问答徽章
日期:2014-04-02 10:25:27马上有车
日期:2014-04-10 16:44:292014年新春福章
日期:2014-04-17 19:29:15
发表于 2014-12-25 19:40 | 显示全部楼层
必须枪毙

使用道具 举报

回复
论坛徽章:
249
Jeep
日期:2013-09-04 19:17:57Jeep
日期:2013-10-08 09:46:02Jeep
日期:2013-10-08 16:38:27Jeep
日期:2013-11-22 14:53:46Jeep
日期:2013-11-08 23:59:45Jeep
日期:2013-11-22 17:15:17Jeep
日期:2013-11-22 17:15:17Jeep
日期:2013-11-17 09:59:04季节之章:夏
日期:2015-01-28 14:58:51季节之章:春
日期:2014-12-25 16:20:50
发表于 2014-12-25 21:06 | 显示全部楼层
,真乱的系统呀,密码居然用明文的

使用道具 举报

回复
论坛徽章:
44
ITPUB15周年纪念
日期:2016-10-13 13:15:34秀才
日期:2015-11-11 09:48:44天枰座
日期:2015-10-23 19:04:22秀才
日期:2015-10-19 15:49:55双子座
日期:2015-09-16 23:24:45知识
日期:2015-08-31 09:57:172015年新春福章
日期:2015-03-06 11:57:31暖羊羊
日期:2015-03-04 14:50:37IT宝贝
日期:2014-08-27 10:32:17秀才
日期:2015-11-23 09:57:36
发表于 2014-12-25 22:15 | 显示全部楼层
1. 稍微专业一点的网站,密码都是密文存储的,就算第三方复制了整个数据库,又能咋地?可怜的12306,难道你养了内鬼?
密文存储,分库,然后将分出来的库做数据库加密。

2.年关将至,抢票软件上演最后的疯狂,谁又能商业的背后没有猫腻呢?我说有抢票软件在钓鱼,你服不服?
服。


3. 就算数据库采用最火的加密算法MD5,网络是HTTPS的,抢票软件商也是良心大大的,各个服务器的请求中转等等,这些中间环节,谁又能保证一定是没有问题的?元方,你怎么看?
加密算法MD5?不要诱导。MD5不是加密算法。服务器中转,谁都不能保证是安全吧。难道中转与中转之间还协商加密算法?这成本。。。这还能抢到票?
4.世上没有绝对的安全,出了问题也不意外。当务之急,不是去刺激人家12306,而是想想,该如何减轻对用户造成的影响。毕竟,年是要过的,别搞得赔了夫人又折兵,那就太亏了。您说呢?
这并不一定是人家12306的问题。更有可能是几个主流的抢票软件的数据库明文保存。因为不用加解密,这样可以省不少时间。抢票才快。
以上纯属个人瞎猜。



使用道具 举报

回复
论坛徽章:
75
乌索普
日期:2018-12-03 19:17:06双子座
日期:2016-01-19 20:35:54秀才
日期:2016-01-13 12:14:26秀才
日期:2015-12-25 15:31:10秀才
日期:2015-12-18 09:28:57秀才
日期:2015-12-14 14:56:09秀才
日期:2015-12-14 14:51:16秀才
日期:2015-11-30 09:13:06处女座
日期:2015-11-27 12:27:01秀才
日期:2015-11-23 10:17:19
发表于 2014-12-25 23:53 | 显示全部楼层
如果是数据库被黑而且明文保存密码,泄露的绝对不止这点。

使用道具 举报

回复
论坛徽章:
172
ITPUB十周年纪念徽章
日期:2011-11-01 16:24:04ITPUB 11周年纪念徽章
日期:2012-09-28 17:34:42ITPUB社区12周年站庆徽章
日期:2013-08-13 16:52:38itpub13周年纪念徽章
日期:2014-10-08 15:21:35ITPUB14周年纪念章
日期:2015-10-26 17:23:44ITPUB15周年纪念
日期:2018-02-09 14:12:58状元
日期:2015-11-19 12:58:23榜眼
日期:2015-11-19 12:58:23探花
日期:2015-11-19 12:58:23进士
日期:2015-11-19 12:59:09
发表于 2014-12-26 09:34 | 显示全部楼层
元方?元芳?

使用道具 举报

回复
论坛徽章:
172
ITPUB十周年纪念徽章
日期:2011-11-01 16:24:04ITPUB 11周年纪念徽章
日期:2012-09-28 17:34:42ITPUB社区12周年站庆徽章
日期:2013-08-13 16:52:38itpub13周年纪念徽章
日期:2014-10-08 15:21:35ITPUB14周年纪念章
日期:2015-10-26 17:23:44ITPUB15周年纪念
日期:2018-02-09 14:12:58状元
日期:2015-11-19 12:58:23榜眼
日期:2015-11-19 12:58:23探花
日期:2015-11-19 12:58:23进士
日期:2015-11-19 12:59:09
发表于 2014-12-26 09:41 | 显示全部楼层
数据泄露,12306一直在撇清自己的关系,认为不是12306的问题.
不敢承担责任不是好的"企业",哪怕真就不是12306的问题,也要表明积极调查的态度,第一时间通知用户做相关的补救措施.

使用道具 举报

回复
论坛徽章:
0
发表于 2014-12-26 10:03 | 显示全部楼层
这个反应了数据的重要性啊?各企业还是要多储备这方面的人才啊

使用道具 举报

回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

TOP技术积分榜 社区积分榜 徽章 团队 统计 知识索引树 积分竞拍 文本模式 帮助
  ITPUB首页 | ITPUB论坛 | 数据库技术 | 企业信息化 | 开发技术 | 微软技术 | 软件工程与项目管理 | IBM技术园地 | 行业纵向讨论 | IT招聘 | IT文档
  ChinaUnix | ChinaUnix博客 | ChinaUnix论坛
CopyRight 1999-2011 itpub.net All Right Reserved. 北京盛拓优讯信息技术有限公司版权所有 联系我们 
京ICP备09055130号-4  北京市公安局海淀分局网监中心备案编号:11010802021510 广播电视节目制作经营许可证:编号(京)字第1149号
  
快速回复 返回顶部 返回列表