“12306用户信息泄露,新闻影响极大,但并未引起用户的重视,我随机抽取10名用户账号密码,竟然全部登陆成功。”一位不愿透露姓名的“技术爱好者”向记者爆料,他通过泄露的用户账号密码,成功进入用户的账户主页,对方的姓名、电话、身份证号等私密信息一览无余。
“非但如此,我还通过上述这名用户的12306账号密码,进入了他的邮箱以及淘宝账号。”这名技术爱好者补充道,幸亏他并不是心怀恶意的黑客,否则对方的信息就能被用来“策划”一场高科技诈骗。
据悉,去年12月25日发生的中国铁路购票网站12306发生严重泄露事件,有14万用户的姓名、手机号、账号、明文密码、身份证号等私人信息泄露在互联网上,一时间引起业界的对网络安全的新一轮探讨。而不久之后,抢票APP“火车票达人”也被爆漏洞,300万用户密码可能已泄露。
第三方网络安全机构“知道创宇”技术副总裁余弦向媒体介绍,该机构研究团队在几家网站2012年、2013年泄露的用户数据中抽取50个作为样本,与此次13万用户数据进行比对,“匹配度有100%”,这就意味着很多用户使用同样的账号、密码登陆了不同的网站,很容易通过“撞库”试出来。
“对于一些安全意识薄弱的用户,黑客一旦获得他的账号密码,就相当于获得了一张通行证,包括邮箱、淘宝、京东等网站都可以登录,甚至还能登录支付宝影响支付,极为危险。”互联网安全专家介绍。
撞库太危险,用户安全意识淡薄
记者随机采访了部分网民,他们对于12306信息泄露的事情果然如网络安全专家所料,安全意识极为淡薄。用户王先生表示,自己也有用使用邮箱注册各种网站的习惯,“密码也懒得变,就怕记不住”。对于12306网站信息泄露他是了解的,但具体没关注,“每年都有很多网站泄露的新闻,我都司空见惯了”。王先生表示,自己并没有因此新闻而去修改12306的账号密码。
而另一位用户马女士则显示出更为淡薄的网络安全意识,“有那么多人泄露,怎么可能只盯上我?黑客不会这么无聊吧?”她认为,媒体和互联网安全公司的关注“夸大”了事件的影响。
对于用户的反应,网络安全专家表示,政府相关部门以及互联网安全公司疏于向用户普及网络安全知识,造成安全意识淡薄,“如果能让每一个民众知道如今网络黑产的恐怖,相信每个人都会很自觉地去重视自己的个人信息不被侵犯”。
提高用户安全意识,引导教育是关键
“黑客们有一个庞大的地下黑色产业链,他们分工合作,采用一整套一条龙的流水作业方式,盗取各类网站数据库、用户帐号,获取海量数据在黑市中进行交易和流通。”腾讯安全专家陆兆华表示,12306网站泄露的数据会被不法分子利用,他们会通过获得的手机号码,向用户发送诈骗短信、电话,威胁用户的手机安全。
陆兆华介绍,公安部门、企业已经认识到网络黑色产业链的危害,所以也一直在摸索如何有效防范手机诈骗,“反信息诈骗联盟建立的警企民联防体系值得推广和借鉴,该联盟好找产业链各个环节一起防范信息诈骗,腾讯等安全公司开放自身能力给产业链以保障企业安全,进而保障用户的安全。”陆兆华认为,如果企业能够不泄露用户信息,用户的网络安全会大大提升。
“用户是反信息诈骗联盟中的重要一环,他们可以通过腾讯手机管家等产品标记诈骗电话、短信,同步到联盟的安全云库之中,其他用户再接收到同样的电话短信,软件就会提醒用户此电话为诈骗,进而防范用户受骗。”陆兆华介绍。
陆兆华强调:“如果能够提高普通用户的安全意识,那么网络黑产也就不攻自破了!这是一个长期的对用户引导和教育的过程。”据消息透露,一份2014年的互联网安全报告正在酝酿之中,该报告将对网络安全现状进行总结,会对网络安全教育的普及发挥重要作用,结果获将起到积极效果。