一封信陕西2016
12月26日,千龙获悉,铁路公安机25日晚抓获了12306站泄密事件的2名犯罪嫌疑人,公安证实犯罪嫌疑人采用撞库方式非法获取12306的用户数据。据360互联安全中心披露,12306之所以被撞库,很可能是其APP漏洞导致的。360补天漏洞平台发现12306APP登陆接口可被黑客恶意利用,无限次尝试撞库破解。360已第一时间将此漏洞通报12306进行修复。昨天,大量12306用户数据在互联上售卖传播,包含13万余条账号密码、、身份证号、邮箱等私密信息。经中国铁路公安证实,犯罪嫌疑人蒋某某医院妇幼保健院等招人中专可、施某某通过收集互联某游戏站以及其他多个站泄露的用户名加密码信息,尝试登陆12306等其他站进行撞库,非法获取用户信息牟利。
12306站之所以被黑客撞库得手,根本原因是其账号安全体系存在缺陷。补天漏洞平台白帽子发现,12306APP的登陆接口存在漏洞,黑客可以轻易绕过其账号安全防护措施,无限次尝试自动登陆。此前上流传的13万余条12306用户密码都是由黑客撞库获取,如此巨大的登陆请求数量,12306都没有及时发现并进行屏蔽。
BAIDU_CLB_fillSlot("969537");
页:
[1]