12306数据泄露系遭撞库 专家支招管好密码

12月25日消息，乌云漏洞平台披露，大量12306用户数据在互联网上传播售卖。虽然12306回应称，网上泄露的用户信息系经其他网站或渠道流出，但根据360互联网安全中心的研究分析，本次12306数据泄露是黑客撞库获取的，系12306网站账号安全体系缺陷，与抢票软件没有任何关系。此次网上流传的12306数据泄露包含13万余条记录，360互联网安全中心的安全研究人员调查发现：1、几乎所有13万条12306账号密码，都可以在此前多家游戏网站泄露的密码库中匹配到相应的记录。说明黑客用多家游戏网站的密码库对12306发动“撞库”攻击，筛选出13万余条使用相同账号密码的用户数据。2、通过对12306泄露数据中的相关用户进行抽样调查，超过半数没有使用任何抢票软件，其余则是使用不同的抢票软件。说明此次12306数据泄露事件与抢票软件无关。3、今天有传闻说存在一个18G的完整的12306数据库，其真实性很可疑，目前没有人能证实此事。此外还有一个22G的版本，但无论是18G还是22G的“12306完整数据”，目前能下载的只是动画片。360安全专家安扬认为，12306网站被撞库，说明12306账号安全体系仍需要进一步完善，尽可能及时发现并阻断黑客撞库攻击。所谓撞库是指用黑客通过收集网络上已泄露的用户名及密码信息，生成庞大的密码库，然后到12306等网站尝试批量登录，得到一批可以登录的用户账号及密码。安扬称，只要用户单独为12306设置密码，或者定期修改密码，就能避免受到此次事件影响。针对普通网友，安扬建议：1）对于涉及用户重要隐私的账号，一定要单独设定，不与其他网站账号相一致。防止一个账号密码泄露，影响所有账号安全；2）重要账号定期修改密码，每半年或者每个季度至少换一次，保证账号安全；3）除了银行网站，著名的电子商务网站之外，其他网站都不要提交自己真实信息；4）切勿轻信陌生人来电和短信，对信息泄露引发的钓鱼诈骗保持高度警惕。
                                                本文转自雷锋网，如需转载请至雷锋网官网申请授权。