新闻链接：e8bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0u0U0N6r3!0Q4x3X3g2U0L8$3#2Q4x3V1k6z5k6i4N6K6i4K6u0r3x3U0l9I4y4o6l9&6i4K6u0r3x3K6x3J5z5e0f1$3i4K6u0W2K9s2c8E0L8l9`.`.
   新闻时间：2014-09-13
   新闻正文：
十一国庆假期即将来临，9月12日起迎来了今年第一个网络订票高峰，12306网站再次成为民众瞩目焦点。今日，有安全机构曝出，12306网站的账号密码找回机制存在较严重的安全隐患，易被他人盗号，12306网站中记录的大量个人及常用联系人的身份证号、手机号码等敏感信息，均存在泄露的风险。

附“WiFi安全实验之：盗取12306网站账号”视频链接：

7fbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4k6Q4x3X3g2I4M7g2)9J5k6h3y4G2L8g2)9J5c8Y4m8S2k6$3g2Q4x3V1k6T1i4K6u0r3j5#2)9J5c8Y4S2Q4x3V1k6T1x3o6p5K6y4Y4g2G2y4Y4u0U0P5q4)9J5k6h3S2@1L8h3H3`.

金山毒霸联合乌云网近日进行了一次安全实验，安全工程师利用一部改造过固件可实现后台监听的路由器，创建一个假冒运营商提供的免费钓鱼WiFi热点“CMCC”。在人流量大的公共场所，很快就有数十人的移动设备自动连接上此钓鱼WiFi，而此时他们的上网信息均可被监听，包括电子邮箱的账户名和密码均可以明文获取!

实验发现，用获取到的邮箱账号和密码登录，可直接进入邮箱，随意浏览邮件内容和文档。国内几乎所有邮箱服务全部沦陷!而邮箱往往绑定了社交、网购等许多重要的网络服务，攻击者破解邮箱之后，还可以进一步威胁网民其他的信息和资产安全。

在上述实验中，某网民的新浪邮箱就注册了12306网站，工程师通过邮箱顺利找回了账户密码并成功登录。12306网站中记录的用户真实的姓名、身份证号、手机号码，以及大量的常用联系人的真实信息，均遭到了泄露。别有用心的攻击者利用这些身份信息、亲属关系，还可以破解更多帐号和服务，引发链式效应，甚至进行电信诈骗!

其实，不仅12306网站，许多其他网络服务都具有通过注册邮箱找回密码的机制。在上述实验中，工程师利用这个方法还成功登录了网民的亚马逊账户，可以查看他的所有购物历史记录和收货地址。但是，一些超级敏感和重要的网络服务，比如支付宝，就采用了双重或者多重验证的更加安全的机制，找回密码不仅需要注册邮箱，还需要手机短信验证码等信息。

鉴于12306网站用户量巨大，还记录着个人及亲属的大量真实且敏感的信息，金山毒霸安全专家认为其现有的安全机制还存在提升的空间，提供了三点建议：第一，找回密码需要手机验证码等其他辅助验证机制;第二，身份证号、手机号等信息部分展示，中间变成“*”，只显示前后4位;第三，登录时进行数字证书验证，登录地点异常时，需要手机短信验证。

安全专家还建议普通网民，尽量不要使用来历不明的公共WiFi，更不要在连接公共WiFi的时候使用电子邮箱、网购、网银等关键的网络服务;家中的路由器后台和WiFi连接密码也应设置得复杂一些，减少被恶意攻击和劫持的可能性;建议使用路由管理大师等工具免除被蹭网的风险

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课