2015年1月5日 星期一

陸鐵路購票網洩個資 懸賞補洞

陸鐵路購票網洩個資 懸賞補洞

中國鐵路客戶服務中心網站(俗稱12306網站)日前發生用戶個資洩漏事件,嫌疑人雖被逮到,網站管理方仍懸賞高達人民幣2000元(新台幣約1萬元),鼓勵網友通報安全漏洞。

新京報報導,12306網站大量用戶個資日前外流,帳號、密碼、身分證和電子郵件等超過13萬筆個資洩漏。嫌疑人落網後,12306網站開始修補漏洞,已加入懸賞查漏平台「補天」。

「補天」是中國大陸首個現金懸賞查找漏洞的平台。資安專家和駭客技術高手透過向企業提交漏洞報告,能根據漏洞危害程度和影響範圍獲得企業現金獎勵,幫企業主動發現並修補漏洞。

報導指出,在補天平台上,實名認證為「中國鐵道科學研究院」的廠商已註冊並發布懸賞訊息,而12306網站的版權所有者之一正是中國鐵道科學研究院。

網站紀錄顯示,短短3天內已有數名網友通報十幾個漏洞。中國鐵道科學研究院最高獎勵2000元,希望各方積極提供漏洞情況。截至27日,累計金額已達到3050元。

資安專家先前指出,12306網站是遭「撞庫」攻擊,也就是駭客拿獲取的資訊嘗試登錄其他網站,而漏洞很可能出現在12306的手機應用程式(app)。

「補天」檢測顯示,12306的手機應用程式確實存在漏洞,並已將這個漏洞通報中國鐵路客戶服務中心進行修補。

原文出處:中央社
轉載自《GigaNet