铁道论坛

中交隧道工程局铁路运营公司招聘公告
查看: 33896|回复: 52

[综合] 12306竟存在惊天漏洞!账户被盗后需要这样止损

    [复制链接]

新浪微博达人勋

发表于 2018-2-25 21:20 | 显示全部楼层 |阅读模式
本帖最后由 烽火轮 于 2018-2-25 21:21 编辑

每年春运,很多人都会把火车作为首选交通工具。越来越多的人使用12306网站和APP购票,免去了线下排队奔波的烦恼。
不过,今年春节,小雷(微信:leitech)却碰上了12306账号被盗的烦心事,并从中发现了12306存在的诸多问题和漏洞。现在小雷就把整个事件还原出来,给大家提供一些经验教训和解决方法。
账号被盗经历
今年春节前,小雷费了九牛二虎之力,依然没有抢到回家的火车,最后选择了第三方的购票网站,几天后终于成功买到票。
]不过,就在春节假期即将结束时,小雷在为家人买票时,突然发现12306账户无法正常登录。输入邮箱和密码后,系统提示密码错误;接着使用手机号码、用户名也同样无法登录。
随后,小雷在找回密码的过程中意识到了账号被盗了,使用邮箱找回密码时,系统提示操作失败;使用手机号码尝试找回密码时,系统则提示手机或证件号码不正确。另外,也不能用自己的身份证号重新注册一个新的12306账号。


在咨询12306的电话客服人员后,对方给出的解决方案为携带身份证前往火车站办理注销手续、然后重新注册一个账号。
销户成为唯一解决方法
万般无奈之下,近日小雷按照客服人员提供的指示,前往广州本地的火车站办理销户手续。
虽然春节假期已经结束,但火车站里依然人头攒动,不过好在人工售票窗口排队的人并不多,看来如今大部分人都已经选择手机或电脑作为购票的主要手段了。


火车站的各个人工售票窗口都可以办理销户手续,说明来意后,工作人员迅速找到对应的账号。从窗口外的显示屏上,小雷发现自己账户的邮箱已经被篡改了。在得到确定的回复后,工作人员迅速输入账号和密码登录一个内部账号,然后把已经被盗的账户注销。
整个过程还是很快的,全程不会超过5分钟。对车站工作人员来说,注销一个12306账号基本只是动动鼠标的事。当然,销户业务其实还有改进的空间,例如把它添加到自动售票机中。


完成销户后,小雷也用自己的身份证信息顺利注册了一个新账户。
复盘和小结
12306账户是如何被盗的?
一般来说,网络账户被盗可能是数据库被黑客攻击,数据泄露,这和对应网站或服务商的安全措施不到位有很大关系。另外,由于很多人会使用同样的账号和密码注册多个网站的账户,这样一来,黑客或不法分子就会通过“撞库”的形式,根据已经窃取或泄露的账号密码在多个网站上尝试。


小雷此前在12306上的用户名和密码都比较简单,也在其他网站上注册使用过,因此很大几率是被“撞库”了。
另外,在第三方购票网站上登录12306账号也可能是导致账户被盗的原因。
被盗后为什么找不回来?
一般来说,账号密码被篡改后,用户可以通过绑定的手机号或邮箱找回。但12306的账户安全机制存在比较严重的漏洞。
首先,修改12306账户中的手机号码只需要输入登录密码即可,而不需要用原来手机号码收验证码,这应该是最大的漏洞。


其次,修改12306账户绑定的邮箱需要输入密码和绑定手机收到的验证码,但此时这个手机号码已经被篡改了,盗取账户的人自然可以轻松更换邮箱。


账户被盗后会产生哪些问题?
首先,12306账户无法正常使用,自然也就买不了票。其次,它会造成用户和账户中联系人的身份信息泄露。另外,如果你把亲友的身份信息存在了账户里的联系人中,并且他没有注册过12306账户的话,它的身份证号码则有可能会被黄牛等不法分子抢注,从而无法正常注册。
把被盗账户注销重新注册后,联系人信息和历史订单也会消失。不过,12306的常旅客会员不会受到影响,此前累计的积分并不会被清空。


如何解决问题?
12306官方设立的安全机制中存在的严重漏洞,给了黄牛等不法分子以可乘之机,需要提高更改绑定手机号码的操作门槛。另外,12306账号中的身份信息是以明文显示的,极易被盗和被利用,应该改成不完全显示。
在官方完善安全机制前,作为普通用户的我们,只能从其他方面入手,为12306设置独立的账户密码,增加密码强度,和其他网站的账户区隔开。另外,如果发现账户中出现了陌生人身份信息或车票订单,要第一时间修改密码。
以上就是小雷个人12306账户被盗的悲催经历和总结出的解决防范方法,希望能给各位小伙伴提供一些经验教训,维护好自己的信息安全,也希望铁路部门能从根本上封堵存在的漏洞。


点评

WRA
完全依靠什么和过分强调什么是错误的,12306根本就没有什么意义。  发表于 2018-2-26 08:14

评分

参与人数 2威望 +10 收起 理由
yixun + 5 赞一个!
xafyxy + 5 共享万岁,Thanks for Sharing!

查看全部评分

回复

使用道具 举报

发表于 2018-2-25 22:29 | 显示全部楼层
是啊,应该手机收到验证码操作才可以。

点评

是的  发表于 2018-3-1 23:27
回复

使用道具 举报

新浪微博达人勋

发表于 2018-2-26 00:12 | 显示全部楼层
铁路这么一个重要部门,出现这样的低级漏洞实在太不应该。

点评

12306就是多余,完全可以让第三方支付平台来做,淘宝,京东,天猫都比12306做得好,省时省力,不知道还养着12306干什么?  发表于 2018-3-3 16:26
回复

使用道具 举报

新浪微博达人勋

发表于 2018-2-26 08:13 | 显示全部楼层
完全依靠什么和过分强调什么是错误的,12306根本就没有什么意义。
回复

使用道具 举报

发表于 2018-2-28 09:37 | 显示全部楼层
低级是低级,TM也不什么鬼惊天吧,太细化吓人了
回复

使用道具 举报

新浪微博达人勋

发表于 2018-2-28 20:38 | 显示全部楼层
出现这样的低级漏洞实在太不应该。
回复

使用道具 举报

新浪微博达人勋

发表于 2018-3-1 16:53 | 显示全部楼层
什么情况?进去了解一下。。。。。。
回复

使用道具 举报

新浪微博达人勋

发表于 2018-3-1 21:38 | 显示全部楼层
小心为妙
回复

使用道具 举报

发表于 2018-3-1 23:44 | 显示全部楼层
这不叫漏洞,是不全面,这样低级的错误真是不应该。
回复

使用道具 举报

新浪微博达人勋

发表于 2018-3-2 08:05 | 显示全部楼层
应该查补漏洞
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册 新浪微博登陆

本版积分规则

Railway Archiver| 铁道论坛手机版| 铁路小黑屋|   

GMT+8, 2018-9-25 15:22, Processed in 1.059509 second(s), 38 queries.

快速回复 返回顶部 返回列表