果然,在网络安全工程师的演示中,轻而易举地就登录了12306网站上的用户账户。这是序号排在30220到30222之间的三个人名,张某某、李某、刘某,记者注意到,技术人员尝试用他们已经泄露出来的账号和密码,非常容易地就成功登录12306网站,并且还可以进一步看到他们的其他隐私信息。让人感到震惊的是这一份数据库其实已经泄露了很长时间。
图片说明:工程师尝试用撞库的办法 轻而易举地就登陆了泄漏信息中的用户账户
互联网安全工程师万仁国:比如说陈鹤的这个姓名、身份证号所购买的车次,以及手机号这些信息都是可以通过这个账号登录获取到的,那么在获取到之后,这个信息在地下二次转卖,转卖之后他们就可以拿着这些信息去做欺诈。
如此大量的个人详细资料外泄,显然会造成严重后果,不仅用户的火车票会被退票,还可能会被犯罪分子利用来进行诈骗。
万仁国:所以我们就看到有很多人在买完这个,比如说高铁的火车票之后,他们收到高铁出票失败,需要退款的这样一个短信通知,会要求去联系一个所谓的400电话号码,如果轻信了这条短信,去拨打这个客服电话,就会陷入它这个陷阱的。而且在这个短信里面,它能够很清楚的把你的购买的车次、姓名、身份证号全都说出来,会很容易上人觉得这是一个来自12306官方的这么一个短信通知。
万仁国告诉记者,像这样大规模的个人信息泄露,在2014年已经发生了很多起。一旦这些信息被黑客盗取,在网络上盗刷银行卡消费都将易如反掌。2014年3月携程网系统出现技术漏洞,导致用户个人信息,银行卡CVV安全码信息泄露,2014年5月小米论坛被报损失用户资料泄露,涉及800万小米论坛注册用户,随后小米公司相关负责人确认,数据泄露事件确有发生。到了2014年下半年信息泄露事件愈演愈烈,8月多家快递网站因存在漏洞遭黑客入侵,有1400万条个人信息在网络上被层层转卖。到了12月更是接连出现智联招聘86万用户简历信息泄露,东方航空大量用户订单信息泄露和12306火车订票网站被人撞库等等事件。