[抢票 APP 火车票达人曝漏洞 泄露 300 万用户密码]

2015-01-08 15:52:49 +08:00
 Jafee
1月8日早间消息,据360补天漏洞响应平台显示,国内流行的手机抢票APP“火车票达人”存在高危漏洞,包括数百万机票、火车票订单用户的身份证号、用户名、明文密码、详细票务信息等数据泄露。

http://tech.sina.cn/?sa=t84d21888535v44
2678 次点击
所在节点    分享发现
11 条回复
rockpine
2015-01-08 15:56:28 +08:00
那啥,有没有数据要分享的
yfdyh000
2015-01-08 16:14:56 +08:00
http://loudong.360.cn/vul/info/qid/QTVA-2015-147623
从平台信息来看,是4小时完成确认并修复。但从新闻截图来看,用的是明文密码。平台上的截图经过了二次涂抹,颜色还不相同。PS: 新闻是标题党,准确说法是“可泄露”。
dingyaguang117
2015-01-08 16:46:03 +08:00
嗯 及时修复了 没流传出去。 而且是总数300万订单,只有部分有密码
surftheair
2015-01-08 16:50:23 +08:00
问一下,第三方的程序不明文的话怎么登录12306?
yfdyh000
2015-01-08 16:58:49 +08:00
@surftheair 忘记这点了…
ooh
2015-01-08 17:00:43 +08:00
@yfdyh000
@surftheair 可逆加密
dingyaguang117
2015-01-08 17:05:29 +08:00
受朋之拖来说明下, 这个是朋友提交的漏洞,信息并没有被泄露,也已经及时修复,希望大家不要再讨论这件事情了,希望不要造成太大影响,感谢。
wzxjohn
2015-01-08 17:07:14 +08:00
@ooh 大量密文可以极大加快密钥破解,同时如果你的程序一起被盗还是一样白搭。
ooh
2015-01-08 17:27:27 +08:00
@wzxjohn 恩,非要这么说的话,我也可以说基本所有网站都无解...如果你的服务器已经沦陷,人家已经在程序校验密码处等着用户提交提交密码了
9hills
2015-01-08 17:35:18 +08:00
@ooh 不可逆和可逆差别还是很大的

可逆密码的问题是只要拿到算法,就能反解出用户密码
不可逆就算你知道算法,你也得靠字典去暴破,万一是个bcrypt,暴破也不行。。
ooh
2015-01-08 17:48:43 +08:00
@9hills 不可逆怎么去登陆12306

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/160349

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX