12306数据泄露系遭黑客“撞库” 专家支招管好密码

12月25日消息，据乌云漏洞平台披露，大量12306用户数据在互联网上传播售卖，包含13万多条用户账号、明文密码、身份证、邮箱等敏感信息。根据360互联网安全中心分析，本次12306数据泄露是黑客“撞库”攻击12306网站获取的。

360安全研究人员调查发现：

一、几乎所有13万条12306账号密码，都可以在此前多家游戏网站泄露的密码库中匹配到相应的记录。说明黑客用多家游戏网站的密码库对12306发动“撞库”攻击，筛选出13万余条使用相同账号密码的用户数据。

二、通过对12306泄露数据中的相关用户进行抽样调查，超过半数没有使用任何抢票软件，其余则是使用不同的抢票软件。说明此次12306数据泄露事件与抢票软件无关。

三、今天有传闻说存在一个18G的完整的12306数据库（另有一说为22G），其真实性很可疑，目前并没有证据证实此事。无论是18G还是22G的“12306完整数据”，今天能下载到的相关文件只是动画片。

图：网上疯传的12306 用户数据截图

360安全专家安扬认为，12306网站被撞库，说明12306账号安全体系仍需要进一步完善，尽可能及时发现并阻断黑客撞库攻击。

所谓“撞库”是指黑客通过收集各网站已泄露的用户名及密码信息，生成庞大的密码库，然后到12306等网站尝试用自动化工具批量登录，得到一批可以使用相同账号及密码的数据。安扬称，只要用户为12306单独设置密码，或者定期修改密码，就能避免受到此次事件影响。

针对普通网友，安扬建议：1）对于涉及用户重要隐私的账号，一定要单独设定，不与其他网站账号相一致。防止一个账号密码泄露，影响所有账号安全；2）重要账号定期修改密码，每半年或者每个季度至少换一次，保证账号安全；3）在非可信网站不要提交自己真实信息；4）切勿轻信陌生人来电和短信，对信息泄露引发的钓鱼诈骗保持高度警惕。

{:4_86:}{:4_86:}

360加油

唉   

支持360