12306个账户三年未被用作“安静账户”。有14个陌生人。
时间:2019-04-15 15:20:28 来源:华宇娱乐 作者:匿名


[新民网]据晨报报道,“这太可怕了。我三年前注册了一个12306网站帐户,但现在我发现该帐户已被盗。大多数常见联系人都是我不认识的人。“潘女士感到震惊。她三年没用过的账户实际上是被剥皮者用来刷票,而且反映给了铁路部门和110。

随着春节的开幕,一些不买门票的人经常发现一个或多个在“突然长”的12306帐户信息中彼此不认识的人:为什么牛会盯着这些“安静”的帐户?这些账户如何落入牛手中?

无法删除陌生人信息

1月6日,曾在国外留学的潘小姐试图在12306网站上购票。 “该帐户已于三年前注册,但从未使用过。这次我最初打算乘坐高铁前往苏州和妈妈的周末。“但在登录12306网站上的个人账户后,潘小姐惊讶地发现她平常接触。在人员名单中,除了我自己,还有14个人从未见过面。 “我查看了这份名单。年龄最大的已经超过60岁了。最年轻的只是一个成年人,身份证号码也来自全国各地。”

一位朋友提醒潘小姐,她的账号应该被剥头皮偷走,这样她就可以快速查看账户信息。潘小姐随后再次开设账户,发现这些陌生人的信息已于2016年12月14日获得12306官方网站的批准,并已分批加入她的账户。 “我发现这只是春节火车票的预售。在前夕,看起来这个剥头皮人拿走了我的账户并买了春节火车票来赚钱。”

潘女士说她原本想更改12306的账号密码并继续购票。无论如何,她没有发现任何损失,但在更改密码后,她无法删除公共联系人列表中这些陌生人的信息。无奈之下,她只能来上海火车站的售票中心寻求帮助。 “我去了手册售票处的服务台。工作人员表示,根据系统规定,将于2017年6月12日后删除。目前的方法是取消帐户并重新注册新帐户。“12306声称用户信息尚未披露

潘女士随后致电12306客户服务热线,了解她的账户是如何被剥头皮偷走的。

“12306客户服务部门坚持认为我的账号和相关信息不能从12306网站泄露。必须在其他第三方网站上泄露。这种情况并非如此,这种情况并不少见。具体原因是客户服务不能说出来。“潘女士说,她的12306账户是在2014年注册的,因为她还在国外学习,并且她在注册后没有用它来购买火车票。 “但我在其他论坛和应用程序中使用了12306个帐户。名称和密码。“

记者咨询了12306官方客服。根据客户服务,像潘小姐这样的帐户被盗,甚至密码都被篡改了。您可以通过经过验证的电子邮件或手机重置密码。但是,根据普通联系人的身份信息,状态为“通过”,“请检查”和“预先通过”的普通联系人不能在180天内删除。至于为什么有180天的限制,客户服务部门声称这是一项规则,但具体原因尚不清楚。

此外,客户服务还表示,最多可以为帐户添加15个常用联系人。 “所以,像潘小姐这样的联系人名单已经满了,真的很麻烦。如果你急于买票,你只能去铁路。车站服务窗口或相关销售点的门票。”

[新闻扩展]

“沉默账户”更容易受到“崩溃攻击”的影响,被盗后很难找到。

业内人士表示,剥头皮确实有可能窃取其他人的“安静账户”。这些帐户即使被犯罪分子窃取也很难被发现,因为他们长时间不使用。

自12306网站推出以来,牛与官方之间的博弈一直在进行。过去,在2015年6月中旬,12306网站发布公告称“网站已经注册,用户名已经批准”。 “收到的”和“预先通过的”普通联系人(乘客)的累积限制从原来的100调整到30.然后连续调整,现在将上限调整为15人。 “在这种情况下,如果牛需要购买更多的门票,则需要更多的账户信息和费用。直接窃取'安静账户'是最直接的手段。”业内人士表示。12306也有安全问题。据了解,早在2014年底春节旅游门票高峰期,乌云漏洞平台就发布了高危险级别漏洞报告。该报告显示,怀疑12306用户数据泄露,甚至是明文密码,以及身份证和邮箱等敏感信息。 。然后,在因特网上分发有大量12306用户数据,包括用户帐户,明文密码,身份证,电子邮件等。众所周知,公开传播的数据库涉及大约140,000个用户。

GeekPwn(非常好)实验室网络安全专家宋玉玺说,潘小姐被盗的“安静帐户”有很多可能的原因:“例如,她在其他平台上使用的帐户密码和12306上使用的帐户。密码是相同的,所以其他人可以通过“崩溃攻击”方法获取她的12306帐户密码。另一个可能是病毒。如果她使用12306帐户,终端中有恶意程序,她的帐户信息也可以。可能泄漏。“

针对“碰撞袭击”,一些国外互联网公司已采取相应措施:“通过技术手段,分析和区分'碰撞攻击'行为,持续监控异常登录现象,从而防止用户信息泄露。”宋玉玺认为,像潘小姐那样长时间不使用的12306账户更容易被“崩溃攻击”,因为这些账户使用的是旧用户名和密码而且没有被修改过,所以与新账户或活跃账户相比,数据库中的符合率一般较高,这意味着“碰撞库”的成功率会更高。不仅如此,这些“安静的帐户”基本上处于毁灭状态,并且恢复的可能性也较小,这可以确保牛将使用更长的时间并且更稳定。

有人专门销售账户,几块钱,有多少钱?

那么,剥头皮在哪里获得潘小姐的账户信息?

记者从一些牛群中了解到,他们使用的12306账户都注册了他们自己的身份信息,还有一些被买了。 “5元一买,到目前为止还没有任何问题,已经用这些账户抢了很多票。”一个剥头皮说。随后,剥头皮还推荐了几家专门卖出12306账户的卖家。记者联系了几家卖家并说他们想买12306个账户。一位卖家说:“10元,多少钱。”另一位卖家把价格降低,但需要大量。购买“2.5元一个,如果一次购买100个,单价也可以降低0.5元。”

当记者询问这些账户来自何处时,卖方自愿回答:“我们的账户是定制的,几年内不会出现问题。不要再解释,你想一想!”

帐户可以自定义吗? “定制”是什么意思?卖方没有向记者解释这个问题,他只是保证这些账户不会被域名抢注,也不用担心被收回。而那些声称能够“定制”他人账户的卖家,记者也在互联网上找到了很多。

宋玉玺告诉记者,安全是游戏对抗的过程。即使平台采取了许多措施,攻击者也可能找到另一种方法来实现他们的目标。因此,没有平台可以没有安全漏洞,12306也不例外。但是,在安全性方面,第三方平台比官方平台更容易泄露信息。 “从技术角度和责任感来看,第三方平台肯定没有官方平台那么强大。特别是,一些小平台不会投入太多资金来保护用户信息。”见习记者胡应武郑斌

(原标题:“我的12306帐户中有14个陌生人!”公众未使用三年的帐户被盗,牛正在盯着“安静的帐户”。你可以买一个几美元)