热搜
您的位置:首页 >> 育儿

12306站被曝存在个人敏感信息泄露安全iyiou.com

2019年03月11日 栏目:育儿

12306站被曝存在个人敏感信息泄露安全隐患十一国庆假期即将来临,9月12日起迎来了今年个络订票高峰,12306站再次成为民众瞩目焦

12306站被曝存在个人敏感信息泄露安全隐患

十一国庆假期即将来临,9月12日起迎来了今年个络订票高峰,12306站再次成为民众瞩目焦点。今日,有安全机构曝出,12306站的账号密码找回机制存在较严重的安全隐患,易被他人盗号,12306站中记录的大量个人及常用联系人的身份证号、号码等敏感信息,均存在千万不要什么事都做了泄露的风险。

附WiFi 安全实验之:盗取12306 站账号视频链接:

金山毒霸联合乌云近日进行了一次安全实验,安全工程师利用一部改造过固件可实现后台监听的路由器,创建一个假冒运营商提供的免费钓鱼WiFi热点CMCC。在人流量大的公共场所,很快就有数十人的移动设备自动连接上此钓鱼WiFi,而此时他们的上信息均可被监听,包括电子邮箱的账户名和密码均可以明文获取!

实验发现,用获取到的邮箱账号和密码登录,可直接进入邮箱,随意浏览邮件内容和文档。国内几乎所有邮箱服务,包括搜狐、新浪、、126、163等,全部沦陷!而邮箱往往绑定了社交、购等许多重要的络服务,攻击者破解邮箱之后,还可以进一步威胁民其他的信息和资产安全。

在上述实验中,下面的故事某民的新浪邮箱就注册了12306站,工程师通过邮箱顺利找回了账户密码并成功登录。12306站中记录的用户真实的姓名、身份证号、号码,以及大量的常用联系人的真实信息,均遭到了泄露。别有用心的攻击者利用这些身份信息、亲属关系,还可以破解更多帐号和服务,引发链式效应,甚至进行电信诈骗!

图注:12306站账号被盗流程图

其实,不仅12306站,许多其他络服务都具有通过注册邮箱找回密码的机制。在上述实验中,工程师利用这个方法还成功登录了民的亚马逊账户,可以查看他的所有购物历史记录和收货地址。但是,一些超级敏感和重要的络服务,比如支付宝,就采用了双重或者多重验证的更加安全的机制,找回密码不仅需要注册邮箱,还需要短信验证码等信息。

鉴于12306站用户量巨大,还记录着个人及亲属的大量真实且敏感的信息,金山毒霸安全专家认为其现有的安全机制还存在提升的空间,提供了三点建议:,找回密码需要验证码等其他辅助验证机制;第二,身份证号、号等信息部分展示,中间变成*,只显示前后4位;第三,登录时进行数字证书验证,登录地点异常时,需要短信验证。官到能贫即是清

安全专家还建议普通民,尽量不要使用来历不明的公共WiFi,更不要在连接公共WiFi的时候使用电子邮箱、购、银等关键的络服务;家中的路由器后台和WiFi连接密码也应设置得复杂一些,减少被恶意攻击和劫持的可能性;建议使用路由管理大师等工具免除被蹭的风险。

国企改制
佛山
2017年菏泽汽车出行上市企业