十一國慶假期即將來臨,近日起又開始迎來了今年第一個網絡訂票高峰,12306網站再次成為民眾矚目焦點。今日,有安全機構曝出,12306網站的賬號密碼找回機制存在較嚴重的安全隱患,易被他人盜號,12306網站中記錄的大量個人及常用聯系人的身份證號、手機號碼等敏感信息,均存在泄露的風險。
安全機構近日進行了一次安全實驗,安全工程師利用一部改造過固件可實現后臺監聽的路由器,創建一個假冒運營商提供的免費釣魚WiFi熱點“CMCC”。在人流量大的公共場所,很快就有數十人的移動設備自動連接上此釣魚WiFi,而此時他們的上網信息均可被監聽,包括電子郵箱的賬戶名和密碼均可以明文獲取!
實驗發現,用獲取到的郵箱賬號和密碼登錄,可直接進入郵箱,隨意瀏覽郵件內容和文檔。國內幾乎所有郵箱服務全部淪陷!而郵箱往往綁定了社交、網購等許多重要的網絡服務,攻擊者破解郵箱之后,還可以進一步威脅網民其他的信息和資產安全。
在上述實驗中,某網民的新浪郵箱就注冊了12306網站,工程師通過郵箱順利找回了賬戶密碼并成功登錄。12306網站中記錄的用戶真實的姓名、身份證號、手機號碼,以及大量的常用聯系人的真實信息,均遭到了泄露。別有用心的攻擊者利用這些身份信息、親屬關系,還可以破解更多帳號和服務,引發鏈式效應,甚至進行電信詐騙!
其實,不僅12306網站,許多其他網絡服務都具有通過注冊郵箱找回密碼的機制。在上述實驗中,工程師利用這個方法還成功登錄了網民的亞馬遜賬戶,可以查看他的所有購物歷史記錄和收貨地址。但是,一些超級敏感和重要的網絡服務,比如支付寶,就采用了雙重或者多重驗證的更加安全的機制,找回密碼不僅需要注冊郵箱,還需要手機短信驗證碼等信息。
鑒于12306網站用戶量巨大,還記錄著個人及親屬的大量真實且敏感的信息,安全專家認為其現有的安全機制還存在提升的空間,提供了三點建議:第一,找回密碼需要手機驗證碼等其他輔助驗證機制;第二,身份證號、手機號等信息部分展示,中間變成“*”,只顯示前后4位;第三,登錄時進行數字證書驗證,登錄地點異常時,需要手機短信驗證。
安全專家還建議普通網民,盡量不要使用來歷不明的公共WiFi,更不要在連接公共WiFi的時候使用電子郵箱、網購、網銀等關鍵的網絡服務;家中的路由器后臺和WiFi連接密碼也應設置得復雜一些,減少被惡意攻擊和劫持的可能性;建議使用路由管理大師等工具免除被蹭網的風險。
京公網安備 11010502049343號