無(wú)法刪除陌生人信息

1月6日，之前在國(guó)外讀書(shū)的潘小姐嘗試在12306網(wǎng)站購(gòu)票?！百~戶(hù)三年前就注冊(cè)了，但一直沒(méi)用過(guò)。這次原本打算和媽媽周末一起乘高鐵去蘇州散散心。”但登錄12306網(wǎng)站進(jìn)入個(gè)人賬戶(hù)后，潘小姐驚訝地發(fā)現(xiàn)，她的常用聯(lián)系人列表中，除了自己之外，居然還有14個(gè)素不相識(shí)的人，“我看了看名單，年齡最大的60多歲了，最小的才剛剛成年，而且身份證號(hào)碼也是來(lái)自全國(guó)各地的?！?/span>

有朋友提醒潘小姐，她的賬戶(hù)應(yīng)該是被黃牛盜用了，讓她趕緊再查查賬戶(hù)信息。潘小姐隨后再次點(diǎn)開(kāi)了她的賬戶(hù)，發(fā)現(xiàn)這些陌生人信息是2016年12月14日通過(guò)12306官網(wǎng)審核，批量加入到她的賬號(hào)之中，“我查詢(xún)后發(fā)現(xiàn)，正好就是春運(yùn)火車(chē)票預(yù)售前夕，看來(lái)是黃牛拿著我的賬號(hào)，購(gòu)買(mǎi)春運(yùn)火車(chē)票賺錢(qián)?！?/span>

潘小姐表示，原本想把12306的賬戶(hù)密碼更改一下繼續(xù)購(gòu)票就算了，反正也沒(méi)查到有什么損失，但更改密碼后，自己卻無(wú)法刪除常用聯(lián)系人列表中那些陌生人的信息。無(wú)奈之下，她只能來(lái)到上海火車(chē)站的票務(wù)中心尋求幫助?！拔胰チ巳斯な燮碧幍姆?wù)臺(tái)，工作人員表示根據(jù)系統(tǒng)規(guī)定，要在2017年6月12日以后才可以刪除，現(xiàn)在的辦法只有注銷(xiāo)賬戶(hù)再重新注冊(cè)一個(gè)新賬戶(hù)?！?/span>

12306稱(chēng)未泄露用戶(hù)信息

潘小姐隨后致電12306客服熱線(xiàn)，想了解自己的賬戶(hù)到底是如何被黃牛盜用的？

“12306客服堅(jiān)稱(chēng)，我的賬戶(hù)及相關(guān)信息不可能是12306網(wǎng)站泄露的，一定是在其他第三方網(wǎng)站泄露的，還說(shuō)我這種案例并不少見(jiàn)，具體什么原因，客服也說(shuō)不上來(lái)?！迸伺空f(shuō)，她的12306賬戶(hù)是在2014年注冊(cè)申請(qǐng)的，因?yàn)楫?dāng)時(shí)還在國(guó)外念書(shū)，注冊(cè)之后就沒(méi)有用其購(gòu)買(mǎi)過(guò)火車(chē)票，“不過(guò)我在其他的論壇和應(yīng)用上的確用過(guò)12306的賬戶(hù)名及密碼?！?/span>

記者咨詢(xún)了12306官方客服，據(jù)客服介紹，像潘小姐這樣的賬戶(hù)被盜甚至密碼被篡改，可以通過(guò)驗(yàn)證的電子郵件或手機(jī)重置密碼。但是根據(jù)常用聯(lián)系人的身份信息核驗(yàn)狀態(tài)，標(biāo)注狀態(tài)為“已通過(guò)”、“請(qǐng)報(bào)驗(yàn)”、“預(yù)通過(guò)”的常用聯(lián)系人在180天內(nèi)不能刪除，至于為什么要有180天的限制時(shí)間，該客服聲稱(chēng)這是規(guī)定，但具體原因并不知情。

此外，該客服還表示，一個(gè)賬戶(hù)內(nèi)最多可以添加不超過(guò)15名常用聯(lián)系人，“所以，像潘小姐這樣聯(lián)系人列表已滿(mǎn)的狀況，確實(shí)比較麻煩，如果急著購(gòu)票，只能到鐵路車(chē)站的服務(wù)窗口或相關(guān)代售點(diǎn)購(gòu)票。”

[新聞延伸]

“沉寂賬戶(hù)”更易被“撞庫(kù)攻擊”，被盜后難被發(fā)現(xiàn)

業(yè)內(nèi)人士分析，黃牛確實(shí)有可能就是盜用了他人的“沉寂賬戶(hù)”，這些賬戶(hù)因?yàn)殚L(zhǎng)時(shí)間不用，即使是被不法分子盜用了很難被發(fā)現(xiàn)。

12306網(wǎng)站上線(xiàn)以來(lái)，黃牛和官方的博弈就一直在進(jìn)行。曾不斷出現(xiàn)各種身份信息被搶注的情況，為防止黃牛利用他人身份信息惡性搶票，2015年6月中旬，12306網(wǎng)站發(fā)布公告，稱(chēng)將網(wǎng)站注冊(cè)用戶(hù)名下的“已通過(guò)”、“請(qǐng)報(bào)驗(yàn)”、“預(yù)通過(guò)”常用聯(lián)系人（乘車(chē)人）累計(jì)上限由原來(lái)的100人調(diào)整為30人。隨后又不斷調(diào)整，現(xiàn)在上限調(diào)整為15人。“這樣的話(huà)，黃牛如果想要多購(gòu)票，就需要更多的賬戶(hù)信息和成本。直接盜取‘沉寂賬戶(hù)’，是最為直接的手段了。”業(yè)內(nèi)人士說(shuō)。

而12306也出現(xiàn)過(guò)安全問(wèn)題。據(jù)了解，早在2014年底的春運(yùn)搶票高峰期間，烏云漏洞平臺(tái)就發(fā)布高危害等級(jí)漏洞報(bào)告，報(bào)告顯示，12306用戶(hù)資料疑似大量泄露，甚至有明文形式的密碼，以及身份證、郵箱等敏感信息。隨即又有大量12306用戶(hù)數(shù)據(jù)在互聯(lián)網(wǎng)上傳播售賣(mài)，包括用戶(hù)賬號(hào)、明文密碼、身份證、郵箱等。已知公開(kāi)傳播的數(shù)據(jù)庫(kù)涉及用戶(hù)數(shù)約14萬(wàn)。

GeekPwn（極棒）實(shí)驗(yàn)室網(wǎng)絡(luò)安全專(zhuān)家宋宇昊表示，像潘小姐這樣的“沉寂賬戶(hù)”被盜存在多種可能的原因：“比如說(shuō)她在其他平臺(tái)上使用的賬號(hào)密碼和在12306上使用的賬號(hào)密碼是同一個(gè)，那么別人就可以通過(guò)‘撞庫(kù)攻擊’ 的方法來(lái)獲得她的12306賬號(hào)密碼。另外一個(gè)可能就是病毒，如果她在使用12306賬戶(hù)時(shí)，終端里面有惡意程序，她的賬戶(hù)信息也有可能會(huì)泄露。”

針對(duì)“撞庫(kù)攻擊”，目前國(guó)外的一些互聯(lián)網(wǎng)企業(yè)已經(jīng)有了相應(yīng)的措施：“通過(guò)技術(shù)手段對(duì)異常登錄現(xiàn)象進(jìn)行持續(xù)監(jiān)控，對(duì)‘撞庫(kù)攻擊’行為進(jìn)行分析辨別，從而防止用戶(hù)信息泄露?！彼斡铌徽J(rèn)為，像潘小姐這樣長(zhǎng)時(shí)間不使用的12306賬戶(hù)更容易被“撞庫(kù)攻擊”，因?yàn)檫@些賬戶(hù)用的還是老的用戶(hù)名和密碼，沒(méi)有經(jīng)過(guò)修改，所以比起新賬戶(hù)或者活躍賬戶(hù)來(lái)說(shuō)，它們?cè)跀?shù)據(jù)庫(kù)里的重合率一般會(huì)更高一些，也就是說(shuō)“撞庫(kù)”的成功率會(huì)更高一些。不僅如此，這些“沉寂賬戶(hù)”基本都處于荒廢狀態(tài)，被找回的可能性也更小，可以保證黃牛更長(zhǎng)時(shí)間、更穩(wěn)定地使用。

有人專(zhuān)門(mén)出售賬戶(hù)，幾塊錢(qián)一個(gè)，要多少有多少

那么，黃牛到底是從哪里得到了潘小姐的賬戶(hù)信息呢？

記者從部分黃牛那里了解到，他們所使用的12306賬戶(hù)除了有用自己身份信息注冊(cè)的，也有一些是買(mǎi)來(lái)的。“5元一個(gè)買(mǎi)的，到現(xiàn)在還沒(méi)出現(xiàn)過(guò)什么問(wèn)題，已經(jīng)用這些賬戶(hù)搶了不少票?！币幻S牛說(shuō)。

隨后，該黃牛還向記者推薦了幾名專(zhuān)門(mén)出售12306賬戶(hù)的賣(mài)家。記者聯(lián)系了其中的多名賣(mài)家，并表示想要購(gòu)買(mǎi)12306賬戶(hù)，一名賣(mài)家說(shuō)：“10元一個(gè)，要多少有多少。”另外一名賣(mài)家則把價(jià)格壓得更低，但是要求要大批量購(gòu)入，“2.5元一個(gè)，如果一次性購(gòu)買(mǎi)100個(gè)，單價(jià)還可以再減掉0.5元?！?/span>

而當(dāng)記者詢(xún)問(wèn)這些賬戶(hù)都是從哪里來(lái)的，該賣(mài)家支支吾吾地回答：“我們的賬戶(hù)都是定制的，用幾年都不會(huì)有問(wèn)題。多的不解釋?zhuān)阕约合氚?！?/span>

賬戶(hù)還可以定制？“定制”到底是什么意思？該賣(mài)家并沒(méi)有向記者解釋這些問(wèn)題，他只是保證這些賬戶(hù)不是搶注的，不用擔(dān)心被找回。而像他這樣號(hào)稱(chēng)能替別人“定制”賬戶(hù)的賣(mài)家，記者在網(wǎng)上還找到了不少。

宋宇昊告訴記者，安全是一個(gè)博弈對(duì)抗的過(guò)程，即使平臺(tái)采取了很多措施，攻擊者也有可能找到另外的方法來(lái)達(dá)到他們的目的。所以，任何平臺(tái)都不可能沒(méi)有安全漏洞，12306也不例外。不過(guò)在安全性方面，第三方平臺(tái)比官方平臺(tái)泄露信息的風(fēng)險(xiǎn)更大?！安还苁菑募夹g(shù)上還是從責(zé)任意識(shí)上來(lái)講，第三方平臺(tái)肯定都沒(méi)有官方平臺(tái)那樣強(qiáng)，特別是一些小平臺(tái)，在保障用戶(hù)信息安全方面的投入肯定不會(huì)太多。”