[抢票 APP 火车票达人曝漏洞泄露 300 万用户密码]

1月8日早间消息，据360补天漏洞响应平台显示，国内流行的手机抢票APP“火车票达人”存在高危漏洞，包括数百万机票、火车票订单用户的身份证号、用户名、明文密码、详细票务信息等数据泄露。

http://tech.sina.cn/?sa=t84d21888535v44

rockpine

2015-01-08 15:56:28 +08:00

那啥，有没有数据要分享的

yfdyh000

2015-01-08 16:14:56 +08:00

http://loudong.360.cn/vul/info/qid/QTVA-2015-147623
从平台信息来看，是4小时完成确认并修复。但从新闻截图来看，用的是明文密码。平台上的截图经过了二次涂抹，颜色还不相同。PS: 新闻是标题党，准确说法是“可泄露”。

dingyaguang117

2015-01-08 16:46:03 +08:00

嗯及时修复了没流传出去。而且是总数300万订单，只有部分有密码

surftheair

2015-01-08 16:50:23 +08:00

问一下，第三方的程序不明文的话怎么登录12306？

dingyaguang117

2015-01-08 17:05:29 +08:00

受朋之拖来说明下，这个是朋友提交的漏洞，信息并没有被泄露，也已经及时修复，希望大家不要再讨论这件事情了，希望不要造成太大影响，感谢。

wzxjohn

2015-01-08 17:07:14 +08:00

@ooh 大量密文可以极大加快密钥破解，同时如果你的程序一起被盗还是一样白搭。

ooh

2015-01-08 17:27:27 +08:00

@wzxjohn 恩,非要这么说的话,我也可以说基本所有网站都无解...如果你的服务器已经沦陷,人家已经在程序校验密码处等着用户提交提交密码了

9hills

2015-01-08 17:35:18 +08:00

@ooh 不可逆和可逆差别还是很大的

可逆密码的问题是只要拿到算法，就能反解出用户密码
不可逆就算你知道算法，你也得靠字典去暴破，万一是个bcrypt，暴破也不行。。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

[抢票 APP 火车票达人曝漏洞 泄露 300 万用户密码]