十一国庆假期即将来临,9月12日起迎来了今年第一个网络订票高峰,12306网站再次成为民众瞩目焦点。今日,有安全机构曝出,12306网站的账号密码找回机制存在较严重的安全隐患,易被他人盗号,12306网站中记录的大量个人及常用联系人的身份证号、手机号码等敏感信息,均存在泄露的风险。 附“WiFi安全实验之:盗取12306网站账号”视频链接: http://v.qq.com/page/b/c/x/b0136uo6rcx.html 金山毒霸联合乌云网近日进行了一次安全实验,安全工程师利用一部改造过固件可实现后台监听的路由器,创建一个假冒运营商提供的免费钓鱼WiFi热点“CMCC”。在人流量大的公共场所,很快就有数十人的移动设备自动连接上此钓鱼WiFi,而此时他们的上网信息均可被监听,包括电子邮箱的账户名和密码均可以明文获取! 实验发现,用获取到的邮箱账号和密码登录,可直接进入邮箱,随意浏览邮件内容和文档。国内几乎所有邮箱服务,包括搜狐、新浪、QQ、126、163等,全部沦陷!而邮箱往往绑定了社交、网购等许多重要的网络服务,攻击者破解邮箱之后,还可以进一步威胁网民其他的信息和资产安全。 在上述实验中,某网民的新浪邮箱就注册了12306网站,工程师通过邮箱顺利找回了账户密码并成功登录。12306网站中记录的用户真实的姓名、身份证号、手机号码,以及大量的常用联系人的真实信息,均遭到了泄露。别有用心的攻击者利用这些身份信息、亲属关系,还可以破解更多帐号和服务,引发链式效应,甚至进行电信诈骗! 图注:12306网站账号被盗流程图 其实,不仅12306网站,许多其他网络服务都具有通过注册邮箱找回密码的机制。在上述实验中,工程师利用这个方法还成功登录了网民的亚马逊账户,可以查看他的所有购物历史记录和收货地址。但是,一些超级敏感和重要的网络服务,比如支付宝,就采用了双重或者多重验证的更加安全的机制,找回密码不仅需要注册邮箱,还需要手机短信验证码等信息。 鉴于12306网站用户量巨大,还记录着个人及亲属的大量真实且敏感的信息,金山毒霸安全专家认为其现有的安全机制还存在提升的空间,提供了三点建议:第一,找回密码需要手机验证码等其他辅助验证机制;第二,身份证号、手机号等信息部分展示,中间变成“*”,只显示前后4位;第三,登录时进行数字证书验证,登录地点异常时,需要手机短信验证。 安全专家还建议普通网民,尽量不要使用来历不明的公共WiFi,更不要在连接公共WiFi的时候使用电子邮箱、网购、网银等关键的网络服务;家中的路由器后台和WiFi连接密码也应设置得复杂一些,减少被恶意攻击和劫持的可能性;建议使用路由管理大师等工具免除被蹭网的风险。
责任编辑:陈晨
|