今日午后,記者在12306官方網(wǎng)站訂票時發(fā)現(xiàn),當(dāng)記者退出個人賬號,網(wǎng)站頁面竟自動轉(zhuǎn)登他人賬號,且與賬號相關(guān)聯(lián)的身份證號、聯(lián)系方式等個人信息均可見,隨后記者在該頁面點擊常用聯(lián)系人選項時頁面再次刷新并顯示他人賬號及賬號涵蓋的所有信息。
而記者嘗試在網(wǎng)站賬戶頁面的個人信息欄等其他選項進行操作,點擊進入后均得到不同的個人身份信息。
記者隨后致電12306官方客服詢問用戶信息是否泄露一事,該客服人員表示系統(tǒng)目前一切正常,并沒有遭到攻擊或者泄露,但針對系統(tǒng)出現(xiàn)的賬戶信息泄露產(chǎn)生原因該客服人員則表示并不清楚。
截至下午5:00左右,記者再次登錄12306官方網(wǎng)站,退出后重新登錄頁面顯示一切正常。
早在2014年12月25日,漏洞報告平臺烏云網(wǎng)曾便發(fā)布報告稱,12306網(wǎng)站存在用戶數(shù)據(jù)泄露漏洞,導(dǎo)致大量12306用戶數(shù)據(jù)在網(wǎng)絡(luò)上傳播,涉及用戶賬號、明文密碼、身份證件、郵箱等信息。
而對于烏云網(wǎng)曝光的漏洞,中國鐵路客戶服務(wù)中心在當(dāng)時也回應(yīng)稱:“此泄露信息全部含有用戶的明文密碼,而我網(wǎng)站數(shù)據(jù)庫所有用戶密碼均為多次加密的非明文轉(zhuǎn)換碼,網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出。”隨后,公安機關(guān)已經(jīng)介入調(diào)查。
中國鐵路客戶服務(wù)中心之后也提醒廣大旅客,為保障廣大用戶的信息安全,請通過官方網(wǎng)站購票,不要使用第三方搶票軟件購票,或委托第三方網(wǎng)站購票,以防止您的個人身份信息外泄。在搶票的同時也請謹慎使用部分第三方網(wǎng)站開發(fā)的搶票神器,防止被捆綁式銷售保險從而泄露個人信息。
此次12306網(wǎng)站的用戶數(shù)據(jù)再次泄露,究竟是系統(tǒng)出現(xiàn)了bug?還是網(wǎng)站的用戶數(shù)據(jù)泄露漏洞尚未修補完善?雖然原因目前尚未得知,但我們也希望中國鐵路客戶服務(wù)中心能夠積極完善網(wǎng)站用戶數(shù)據(jù)安全防護的相關(guān)功能。
京公網(wǎng)安備 11010502049343號