[抢票 APP 火车票达人曝漏洞泄露 300 万用户密码]

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3599 天前的主题，其中的信息可能已经有所发展或是发生改变。

1月8日早间消息，据360补天漏洞响应平台显示，国内流行的手机抢票APP“火车票达人”存在高危漏洞，包括数百万机票、火车票订单用户的身份证号、用户名、明文密码、详细票务信息等数据泄露。

http://tech.sina.cn/?sa=t84d21888535v44

11 条回复 • 2015-01-08 17:48:44 +08:00

rockpine

2015-01-08 15:56:28 +08:00

那啥，有没有数据要分享的

yfdyh000

2015-01-08 16:14:56 +08:00

http://loudong.360.cn/vul/info/qid/QTVA-2015-147623
从平台信息来看，是4小时完成确认并修复。但从新闻截图来看，用的是明文密码。平台上的截图经过了二次涂抹，颜色还不相同。PS: 新闻是标题党，准确说法是“可泄露”。

dingyaguang117

2015-01-08 16:46:03 +08:00 via iPhone

嗯及时修复了没流传出去。而且是总数300万订单，只有部分有密码

surftheair

2015-01-08 16:50:23 +08:00

问一下，第三方的程序不明文的话怎么登录12306？

yfdyh000

2015-01-08 16:58:49 +08:00

@surftheair 忘记这点了…

ooh

2015-01-08 17:00:43 +08:00

dingyaguang117

2015-01-08 17:05:29 +08:00

受朋之拖来说明下，这个是朋友提交的漏洞，信息并没有被泄露，也已经及时修复，希望大家不要再讨论这件事情了，希望不要造成太大影响，感谢。

wzxjohn

2015-01-08 17:07:14 +08:00 via iPhone

@ooh 大量密文可以极大加快密钥破解，同时如果你的程序一起被盗还是一样白搭。

ooh

2015-01-08 17:27:27 +08:00

@wzxjohn 恩,非要这么说的话,我也可以说基本所有网站都无解...如果你的服务器已经沦陷,人家已经在程序校验密码处等着用户提交提交密码了

9hills

2015-01-08 17:35:18 +08:00

@ooh 不可逆和可逆差别还是很大的

可逆密码的问题是只要拿到算法，就能反解出用户密码
不可逆就算你知道算法，你也得靠字典去暴破，万一是个bcrypt，暴破也不行。。

ooh

2015-01-08 17:48:43 +08:00

@9hills 不可逆怎么去登陆12306

[抢票 APP 火车票达人曝漏洞 泄露 300 万用户密码]