赶快改密码啊，12306被泄露了

pineking

http://www.wooyun.org/bugs/wooyun-2014-088532


漏洞回应厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-12-25 13:47

厂商回复：

关于提醒广大旅客使用官方网站购票的公告
针对互联网上出现“网站用户信息在互联网上疯传”的报道，经我网站认真核查，此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。目前，公安机关已经介入调查。
我网站郑重提醒广大旅客，为保障广大用户的信息安全，请您通过官方网站购票，不要使用第三方抢票软件购票，或委托第三方网站购票，以防止您的个人身份信息外泄。
同时，我网站提醒广大旅客，部分第三方网站开发的抢票神器中，有捆绑式销售保险功能，请广大旅客注意。
中国铁路客户服务中心
2014年12月25日

12306 网站更新了

http://www.12306.cn/mormhweb/zxdt/201412/t20141225_2448.html

mutou1900

不会吧 又泄露？？？

pineking

mutou1900 发表于 2014-12-25 13:37
不会吧 又泄露？？？

泄露了14w数据

应该是第三方订票软件或者网站泄露的

mutou1900

如何查询自己的资料是否在泄露名单中？

mutou1900

漏洞概要 关注数(195) 关注此漏洞
缺陷编号：         WooYun-2014-88532
漏洞标题：         大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等（泄漏途径目前未知）
相关厂商：         中国铁道科学研究院
漏洞作者：         追寻
提交时间：         2014-12-25 10:59
公开时间：         2015-02-08 10:59
漏洞类型：         用户资料大量泄漏
危害等级：         高
漏洞状态：         已交由第三方厂商(cncert国家互联网应急中心)处理
漏洞来源：         http://www.wooyun.org
Tags标签：         无
14人收藏 收藏 分享漏洞：163
漏洞详情
披露状态：
2014-12-25：        细节已通知厂商并且等待厂商处理中
简要描述：
过年了，好多黑产牛不要命了，刚才看到12306的数据在传播，竟然连我自己的敏感数据都有，哎。。。
PS：数据只是在传播售卖，目前无法确认是12306官方还是第三方抢票平台泄漏，希望官方立即接入调查并且通知已泄密用户修改密码！扯淡媒体请绕行！
漏洞hash：b32175f79a8918a34488ecf17ea65068
版权声明：转载请注明来源 追寻@乌云

木已成舟

刚刚手机12306上线，发现提示更新。
更新后显示2.01版。可能和本报告相关。

h-r

pineking 发表于 2014-12-25 13:43
泄露了14w数据

应该是第三方订票软件或者网站泄露的

难道又是那几家流氓软件公司在搞鬼？

h-r

木已成舟 发表于 2014-12-25 13:58
刚刚手机12306上线，发现提示更新。
更新后显示2.01版。可能和本报告相关。

没关系。2.01版更新发布在这篇文章之前。

mutou1900

收到12306的提醒了

木已成舟

h-r 发表于 2014-12-25 13:58
没关系。2.01版更新发布在这篇文章之前。

乌云公开漏洞，一般在相关单位收到报告一定时间后。
另，智行火车票提示更新到2.3.2，好象上次更新不到一周。

h-r

木已成舟 发表于 2014-12-25 14:01
乌云公开漏洞，一般在相关单位收到报告一定时间后。
另，智行火车票提示更新到2.3.2，好象上次更新不到一 ...

乌云显示的提交时间是今天，公开时间是2月8日。
2.01版大概是20日左右发布的，估计是配合1.25版停用。
智行更新的原因大概是原来的接口被12306封了吧。

木已成舟

刚又查了下市场，智行火车票更新是今天（25日）的事；
12306各市场还没有更新版本。

h-r

木已成舟 发表于 2014-12-25 14:05
刚又查了下市场，智行火车票更新是今天（25日）的事；
12306各市场还没有更新版本。

12306是应用内更新，apk没改，市场上的版本不必要更新。

木已成舟

h-r 发表于 2014-12-25 14:05
乌云显示的提交时间是今天，公开时间是2月8日。
2.01版大概是20日左右发布的。估计是配合1.25版停用。 ...

公开时间是2月8日？

h-r

木已成舟 发表于 2014-12-25 14:07
公开时间是2月8日？

“提交时间：         2014-12-25 10:59
公开时间：         2015-02-08 10:59”

一床老棉被

是不是没用过第三方软件的就没事

luckychow

h-r 发表于 2014-12-25 14:09
“提交时间：         2014-12-25 10:59
公开时间：         2015-02-08 10:59”

提交时间是漏洞提交时间，实际发现时间会更早
公开时间是漏洞细节公布时间。

pineking

漏洞回应厂商回应：
危害等级：高
漏洞Rank：20
确认时间：2014-12-25 13:47
厂商回复：
关于提醒广大旅客使用官方网站购票的公告
针对互联网上出现“网站用户信息在互联网上疯传”的报道，经我网站认真核查，此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。目前，公安机关已经介入调查。
我网站郑重提醒广大旅客，为保障广大用户的信息安全，请您通过官方网站购票，不要使用第三方抢票软件购票，或委托第三方网站购票，以防止您的个人身份信息外泄。
同时，我网站提醒广大旅客，部分第三方网站开发的抢票神器中，有捆绑式销售保险功能，请广大旅客注意。
中国铁路客户服务中心
2014年12月25日



12306 网站更新了

http://www.12306.cn/mormhweb/zxdt/201412/t20141225_2448.html

死去活来

会不会有利用这个来恶意退票，把别人好不容易抢到的回家车票都给退了。在主人不知道情的情况下就把车票退了，等手机收到信息就已经晚了。然后车票又被别人买走，这张车票要算谁的

hyque

据说是撞库的