12306数据包泄漏引发的信息安全思考

作者: 段轩 分类: 信息安全 发布时间: 2014-12-27 20:15

目前各大网站、媒体在相继报道乌云漏洞平台在12月25日曝光关于《大量12306用户数据在互联网遭疯传,包括用户帐号、明文密码、身份证邮箱等》的跟踪后续。

0x01世界未末日

晚上闲的没事去乌云漏洞平台去看了下发现有关12306的漏洞中又有两个漏洞被cncert国家互联网应急中心和铁道科学研究院确认,分别是:《12306铁路服务系统可控制系统高危漏洞(早有报告依旧未修复)》和《 12306多处SQL注入(涉及某内部系统)》,详细地址可登录乌云官方网站查看。

在目前春运抢票的高峰期出现这个报道多少给人一些惊慌的感觉,周围的好友看到消息后都去12306官网修改密码了。我想那些给周围亲朋好友购票的帐号的同学更加着急,因为一旦帐号被盗取、泄漏将是无法想像的后果。索性的是在案发24小时内就抓获了涉及贩卖数据包的人,那些已贩卖的数据在一定程度上还是会继续给大家带来困扰。

事发后12306官方也在第一时间做出公告声明让大家不要使用抢票神器之类的程序或手机App,而12306一再声明自己的加密措施是经过几次加密生成的。在这里我就有个疑问了,花了亿级的纳税人的钱却换来这种结果,那还不如把钱给相类似支付宝的企业更好。支付宝的服务器负载能力在双十一也没让大家觉得卡顿,而你12306的服务器负载能力每到抢票时间就卡的要死,这就别怪程序猿同学开发出来的各种抢票神器了。

从以前的以前的报到来看12306不止一次泄漏过用户信息,2014年7月,网友称利用12306官网漏洞购票可选上下铺,该漏洞随后被修复;2014年1月2日,网友称可用假护照、假身份证随意订票;2013年12月6日,新版中国铁路客户服务中心12306网站上线,仅几个小时后被“乌云网”指出存在漏洞,可能导致用户信息泄露。

以上这些亟需12306网站进行网站信息安全方面的加固和完善,如果可能的话邀请广大白帽子同学和程序猿来进行测试而不是一出事就把责任推给第三方程序商。

0x02信息安全如何更安全

以前上网的时候只要注册个匿名帐号就能畅通互联网,现如今各大网站、论坛的实名制机制是否真的能够保障用户的真是数据不再泄露?结果是泄漏事件一再发生,这就让我们想到信息安全怎样才能更加安全?12306官方给出的补救措施虽能够及时让用户修改帐号密码,但未来还不会不会出现类似的情况?

如今大数据、云计算已是趋势,在趋势的背后是无数用户的真实信息在传递、流动。还有目前互联网巨头旗下的产品大多已实现一个帐号能够使用所有产品,另外就是跨平台的应用授权也用同一个帐号进行。虽然方便登录,一旦某一方的数据泄漏此帐号相应的数据随之也泄漏。有时候我在想到底是方便重要还是数据更重要?

2011年12月22日知名技术网站CSDN数据库被泄漏在网上,随之而来的是当当、天涯、YY等网站的数据泄漏。这件事成为2012年最具影响力的事件,一时间人们关注信息安全比以往更加重视。

信息安全是全世界一个永恒的话题,让我们从自己除非必要否则尽量不要使用自己的真实信息。

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!