數據如何泄露？

瑞星公司針對12306網站約13萬用戶關鍵隱私信息被泄露事件進行調查後發現，12306網站主域名下共有6個分站存在嚴重的Strust2框架的遠程執行漏洞，黑客可利用該漏洞控製分站服務器，進而攻擊整個12306網站，並竊取所有數據庫中的信息。因此
，本次信息泄露事件有可能還會繼續升溫發酵。

專家介紹
，12306網站主域名下，共6個分站存在Strust2框架的遠程執行漏洞，黑客可使用專業工具直接對網站進行攻擊，遙控網站服務器下載惡意文件，獲取最高控製權限，進行跳板攻擊，進而對12306整個網站進行入侵，從而獲取所有數據庫中的信息。

針對此次的12306用戶信息泄露問題，有白帽子專家分析認為
，數據疑似黑客撞庫後整理得到，而並非12306直接泄漏，請用戶及時修改密碼
，同時慎用搶票工具。

所謂“撞庫”，是一種針對數據庫的攻擊方式，通過攻擊者所擁有數據庫的數據通攻擊目標數據庫，可以理解為使用在A網站盜取的賬戶密碼來登陸B網站，因為很多用戶在不同網站使用的是相同的賬號密碼。

再打個比方

，就是你從大樓保安那裏複製了一大串鑰匙，然後跑到隔壁同一家建築公司
、同一批設計人員造的樓裏，一把把試著去開不同的門。

最近還有個“拖庫”經常出現
，它是指從數據庫中直接導出數據，更加嚴重
，因為這意味著數據庫本身存在很大的漏洞。

也ye有you人ren懷huai疑yi是shi第di三san方fang搶qiang票piao軟ruan件jian泄xie露lu所suo致zhi，目mu前qian還hai沒mei有you證zheng據ju可ke以yi證zheng明ming，但dan無wu論lun如ru何he
，搶qiang票piao的de心xin情qing可ke以yi理li解jie，但dan一yi定ding要yao注zhu意yi保bao護hu自zi己ji的de安an全quan，並bing強qiang烈lie建jian議yi12306用戶更改密碼，最好是和其他網站不同的密碼。

因為，這些數據已經在網上公然叫賣了，如果被黃牛拿到
，把我們辛辛苦苦訂的票退掉倒騰給別人
，豈不是太鬱悶了！

雖(sui)然(ran)知(zhi)道(dao)了(le)密(mi)碼(ma)可(ke)能(neng)的(de)泄(xie)露(lu)方(fang)式(shi)，但(dan)是(shi)我(wo)們(men)都(dou)有(you)一(yi)個(ge)巨(ju)大(da)的(de)疑(yi)問(wen)。對(dui)每(mei)個(ge)用(yong)戶(hu)來(lai)說(shuo)至(zhi)關(guan)重(zhong)要(yao)的(de)用(yong)戶(hu)名(ming)和(he)密(mi)碼(ma)等(deng)關(guan)鍵(jian)信(xin)息(xi)，網(wang)站(zhan)為(wei)什(shen)麼(me)會(hui)采(cai)用(yong)明(ming)碼(ma)保(bao)存(cun)，難(nan)道(dao)是(shi)技(ji)術(shu)屏(ping)障(zhang)？還(hai)是(shi)另(ling)有(you)原(yuan)因(yin)

？
[page]
網站為什麼明文保存密碼
？

1、明文密碼應付檢查。大家知道互聯網審查
，有時往往會一個電話過來

，要XXyonghudemima。ruguonimeifageichu，shangtoujiurenweinibupeihe，shiqinggezhongnangao。zuoweishenzhajigoudelaoban，dangranmeibiyaozhidaomingwenmimadeweihai。tamenzhizhidao
，woyaomima

，weishenmebuxing。suoyi，beicuidechengxuyuanmenjiuwangwanghuidedaoyitiaosimingling，baocunmingwenmima。

2、壓ya根gen不bu知zhi道dao明ming文wen密mi碼ma有you什shen麼me問wen題ti。中zhong國guo的de互hu聯lian網wang有you太tai多duo的de沒mei基ji礎chu的de新xin人ren


，從cong石shi頭tou的de縫feng隙xi中zhong頑wan強qiang的de生sheng長chang出chu來lai。這zhe不bu是shi壞huai事shi

，壞huai事shi的de是shi這zhe些xie人ren往wang往wang會hui在zai一yi些xie基ji礎chu問wen題ti上shang出chu現xian奇qi怪guai的de毛mao病bing。例li如ru有you些xie程cheng序xu員yuan，寫xie程cheng序xu很hen快kuai，但dan是shi居ju然ran從cong來lai不bu知zhi道dao密mi碼ma明ming文wen存cun放fang會hui導dao致zhi什shen麼me問wen題ti。

3、自信暴棚的混帳。有些人的自信總比別人強
，而且強在莫名其妙的地方。例如：我的服務器肯定是沒問題的，所以我的密碼一定要明文存放。如果不，就是質疑我的技術。實話說
，這種人真是少數中的少數。

4
、遺yi留liu係xi統tong。很hen多duo係xi統tong設she計ji的de時shi候hou因yin為wei某mou個ge其qi他ta理li由you
，使shi用yong了le明ming文wen密mi碼ma。等deng後hou來lai這zhe個ge理li由you不bu存cun在zai了le，密mi碼ma係xi統tong升sheng級ji成cheng了le一yi個ge困kun難nan。因yin為wei密mi碼ma係xi統tong太tai重zhong要yao了le

，所suo以yi在zai沒mei有you太tai大da利li益yi的de情qing況kuang下xia，總zong是shi傾qing向xiang於yu不bu修xiu改gai係xi統tong。但dan是shi有you什shen麼me足zu夠gou利li益yi來lai推tui動dong係xi統tong修xiu改gai呢ne？用yong戶hu安an全quan問wen題ti在zai發fa現xian前qian不bu是shi一yi個ge問wen題ti——好比這次的 CSDN
，不是被暴出來的話就根本不會被當作一個問題。係統的管理者，每個人都沒有足夠的動力去修改係統。

5、世界的陰暗角落。有的時候
，程序員/老(lao)板(ban)明(ming)文(wen)存(cun)放(fang)的(de)理(li)由(you)，是(shi)為(wei)了(le)方(fang)便(bian)盜(dao)竊(qie)用(yong)戶(hu)其(qi)他(ta)網(wang)站(zhan)資(zi)料(liao)。例(li)如(ru)我(wo)所(suo)知(zhi)的(de)某(mou)釣(diao)魚(yu)案(an)例(li)，你(ni)注(zhu)冊(ce)網(wang)站(zhan)，就(jiu)提(ti)供(gong)很(hen)多(duo)免(mian)費(fei)服(fu)務(wu)

，網(wang)站(zhan)看(kan)起(qi)來(lai)也(ye)很(hen)靠(kao)譜(pu)——除了後來突然爆出這家網站其實暗地中用你的生日/密碼猜解信用卡/銀yin行xing卡ka密mi碼ma

，大da家jia才cai突tu然ran發fa現xian
，這zhe家jia網wang站zhan其qi實shi根gen本ben沒mei有you在zai美mei國guo注zhu冊ce，而er是shi一yi個ge聽ting都dou沒mei聽ting說shuo過guo的de國guo家jia。而er且qie很hen多duo網wang站zhan提ti供gong從cong其qi他ta網wang站zhan導dao入ru之zhi類lei的de功gong能neng
，更geng加jia的de危wei險xian。以yi前qian經jing常chang爆bao出chutwitter密碼被竊取，主要就是因為OAuth開放以前

，twitter上的第三方應用需要提供原生密碼，導致很多小應用的目的其實就是收集密碼…

6、為了給用戶提供方便。這個理由和上一個很類似
，不過不是為了某些險惡的目的。而是客戶經常要求——為什麼我不能做XX事
，為什麼我不能blahblah。好吧
，為了讓你能

，我們就必須保存明文密碼。
這(zhe)個(ge)揭(jie)秘(mi)來(lai)源(yuan)於(yu)一(yi)個(ge)程(cheng)序(xu)員(yuan)的(de)爆(bao)料(liao)

，不(bu)說(shuo)爆(bao)料(liao)的(de)可(ke)信(xin)度(du)是(shi)百(bai)分(fen)之(zhi)百(bai)
，至(zhi)少(shao)他(ta)所(suo)說(shuo)的(de)內(nei)容(rong)中(zhong)很(hen)多(duo)是(shi)值(zhi)得(de)我(wo)們(men)思(si)考(kao)的(de)。明(ming)文(wen)保(bao)存(cun)密(mi)碼(ma)，既(ji)有(you)政(zheng)策(ce)和(he)管(guan)理(li)這(zhe)樣(yang)外(wai)在(zai)的(de)人(ren)為(wei)原(yuan)因(yin)，同(tong)樣(yang)也(ye)有(you)技(ji)術(shu)的(de)問(wen)題(ti)
，更(geng)有(you)利(li)益(yi)的(de)驅(qu)使(shi)。可(ke)見(jian)明(ming)文(wen)密(mi)碼(ma)的(de)原(yuan)因(yin)背(bei)後(hou)是(shi)錯(cuo)綜(zong)複(fu)雜(za)的(de)。在(zai)這(zhe)樣(yang)錯(cuo)綜(zong)複(fu)雜(za)因(yin)素(su)的(de)背(bei)後(hou)，我(wo)們(men)應(ying)該(gai)加(jia)強(qiang)自(zi)己(ji)的(de)密(mi)碼(ma)保(bao)護(hu)意(yi)識(shi)。

如何保護自己的密碼安全


？

一、增強網絡安全意識

在互聯網時代，網絡安全意識應該像日常交通安全意識一樣，作為常識被確立。以CSDN為例，作為國內權威的技術論壇

，該社區的用戶在技術方麵堪稱專業，但流出的CSDN密碼卻顯示
，大批用戶使用的竟是“12345678”“11111111”這樣超簡單的密碼。所以我們首先要有一個較強的網絡安全意識。

二、設置較為安全的密碼

安全密碼基本準則：8位以上
、密碼采用三種或以上組合。各關鍵網站密碼不同
，防止黑客使用撞庫的方式進行信息盜取。

三

、盡量避免使用第三方軟件

youyudisanfangruanjiandeanquanxingbugao，suoyiqingjinshenshiyonglixianqiangpiaogongneng。xianglixianqiangpiaozheyangdedisanfangfuwutuoguanfuwu，bixumingwencunmima
，qiemeifajiami。suoyiyidanxielujiushimingwen。

四


、經常更改密碼

如果發現密碼被盜，立即更改密碼。同時對於安全性要求比較高的密碼，定時更改密碼也是一個有效的保護信息安全的手段。

針對12306的密碼泄露，針對性的補救方法：

1、立刻修改12306登錄密碼；不過由於新密碼同步到所有服務器需要時間，部分用戶修改密碼後，或不能立刻登錄；
2、盡快修改登錄12306時使用的郵箱密碼，郵箱服務和12306網站服務一定不要使用相同的登錄密碼；
3
、由於12306數據泄露的數據還包含手機號、身shen份fen證zheng號hao，除chu了le自zi己ji的de信xin息xi之zhi外wai，還hai會hui泄xie露lu親qin友you的de身shen份fen信xin息xi。建jian議yi受shou信xin息xi泄xie露lu影ying響xiang的de所suo有you人ren小xiao心xin處chu理li可ke能neng的de詐zha騙pian電dian話hua和he短duan信xin。同tong時shi，與yu銀yin行xing轉zhuan帳zhang彙hui款kuan有you關guan的de業ye務wu，務wu必bi電dian話hua確que認ren身shen份fen；
4、謹慎使用搶票軟件。

網wang絡luo給gei我wo們men的de生sheng活huo帶dai來lai了le許xu多duo的de便bian利li

，同tong時shi我wo們men的de網wang絡luo生sheng活huo也ye麵mian臨lin著zhe諸zhu多duo的de挑tiao戰zhan。而er網wang絡luo安an全quan也ye日ri益yi受shou到dao網wang民min的de關guan注zhu，特te別bie是shi在zai一yi次ci次ci的de爆bao出chu信xin息xi泄xie露lu之zhi後hou
，更geng加jia加jia重zhong了le網wang民min的de擔dan心xin。文wen章zhang中zhong我wo們men也ye分fen析xi了le網wang站zhan明ming文wen保bao存cun密mi碼ma的de錯cuo綜zong複fu雜za的de原yuan因yin
，在zai我wo們men無wu法fa確que認ren網wang站zhan是shi否fou安an全quan的de前qian提ti下xia，擁yong有you一yi個ge良liang好hao的de網wang絡luo安an全quan意yi識shi，謹jin慎shen保bao管guan好hao自zi己ji的de密mi碼ma
，當dang發fa生sheng問wen題ti的de時shi候hou及ji時shi使shi用yong正zheng確que的de方fang法fa進jin行xing補bu救jiu是shi十shi分fen有you必bi要yao的de。

相關閱讀：

麵麵俱到：全麵了解無線通信網絡技術（上）
麵麵俱到：全麵了解無線通信網絡技術（下）
基於物聯網無線智能網絡技術的燈光控製技術