12306 이런 열악하고 더러운 웹사이트, 이런 버그가 사용자 개인 정보를 유출하나요?

누가 유출했고, 사용자 데이터는 얼마나 유출됐나?

누가 사용자 데이터를 유출했나요? 유출된 데이터의 총량은 얼마나 됩니까? 많은 인터넷 보안 전문가들에 따르면, 현재 정보에 따르면 '크리덴셜 스터핑'으로 인해 데이터가 유출되었을 가능성이 매우 높으며, 유출된 데이터는 13만 명 이상의 사용자일 수 있습니다.

'크리덴셜 스터핑'은 해커 공격 방법입니다. 해커는 인터넷에 유출된 사용자 이름, 비밀번호 및 기타 정보를 수집한 다음 기술적 수단을 사용하여 일부 웹 사이트로 이동하여 하나씩 로그인을 "시도"하고 마지막으로 가능한 일부 사용자 이름과 비밀번호를 "시도"합니다. "행운"으로 로그인했습니다.

물론 '크리덴셜 스터핑'이 성공하기 위한 전제조건은 여러 웹사이트에 사용자가 등록한 사용자 이름과 비밀번호가 동일하다는 점이다. 분석 결과, 많은 인터넷 보안 전문가들은 이번 사건이 '크리덴셜 스터핑으로 인한 것임에 틀림없다', '사용자 이름과 비밀번호가 변경되지 않은 상태'로 추정하고 있다.

제3자 네트워크 보안 기관인 '노우 추앙위(Know Chuangyu)'의 기술 부사장 이시안(Yixian)은 중국 청년일보 기자에게 회사 연구팀이 2012년 여러 웹사이트에서 유출된 사용자 데이터에서 50개의 샘플을 선택했다고 말했습니다. 이번 사용자 13만명의 데이터와 비교하면 '일치도는 100'이다.

12306은 어떤 허점을 채울 수 있나요?

이번 사건 이전 국내 취약점 신고 플랫폼 '우윤닷컴'의 12306 홈페이지에는 2011년부터 네티즌들이 지적한 취약점이 60여 건에 달했다. 그 중 '인증코드' 문제는 자주 비판을 받아온 허점 중 하나다.

인증번호는 사용자가 로그인할 수 있는 수준으로, 사용자 이름과 비밀번호, 인증코드가 정확해야 사용자가 정상적으로 로그인할 수 있습니다. 인증 코드가 올바르게 구현되면 해커 프로그램이 사용자 이름과 비밀번호를 마스터하더라도 정확성을 "테스트"하는 어려움이 크게 높아집니다.

Yixian은 China Youth Daily의 기자에게 이번 '크리덴셜 스터핑' 사건에서 12306에는 '크리덴셜 스터핑' 공격에 취약한 인터페이스가 있었다고 말했습니다. 원칙적으로 잘 이루어져야 합니다." 방어 등은 IP에서 이 인터페이스로 요청 빈도를 제한합니다. 요청 빈도나 횟수가 특정 빈도를 초과하는 경우 인증 코드 조치 또는 차단 조치를 채택해야 합니다."

공안부에서는 왜 여러 건의 정보 유출이 발생합니까?

이 사건이 공개되기 전에 국내 'BuTian' 취약성 대응 플랫폼에서도 다수의 정보 유출이 공개됐다. 관련 제조사들이 이를 확인했지만 언론에서는 이를 보도한 사례가 거의 없다. 중국청년일보 기자는 사건의 대부분이 정부 부처와 관련이 있다는 사실을 발견했다.

유출된 데이터 중 가장 많은 것은 '2003년부터 현재까지 항저우에서 태어난 약 90만명의 신생아와 약 180만명의 부모의 이름, 나이, 신분증, 집 주소 등 모든 민감한 정보'다. 네티즌들이 취약점을 제출한 12월 24일, 저장성 보건가족계획위원회는 취약점을 확인했습니다.