十一国庆假期即将来临，9月12日起迎来了今年第一个网络订票高峰，12306网站再次成为民众瞩目焦点。今日，有安全机构曝出，12306网站的账号密码找回机制存在较严重的安全隐患，易被他人盗号，12306网站中记录的大量个人及常用联系人的身份证号、手机号码等敏感信息，均存在泄露的风险。

附“WiFi安全实验之：盗取12306网站账号”视频链接：

http://v.qq.com/page/b/c/x/b0136uo6rcx.html

金山毒霸联合乌云网近日进行了一次安全实验，安全工程师利用一部改造过固件可实现后台监听的路由器，创建一个假冒运营商提供的免费钓鱼WiFi热点“CMCC”。在人流量大的公共场所，很快就有数十人的移动设备自动连接上此钓鱼WiFi，而此时他们的上网信息均可被监听，包括电子邮箱的账户名和密码均可以明文获取!

实验发现，用获取到的邮箱账号和密码登录，可直接进入邮箱，随意浏览邮件内容和文档。国内几乎所有邮箱服务全部沦陷!而邮箱往往绑定了社交、网购等许多重要的网络服务，攻击者破解邮箱之后，还可以进一步威胁网民其他的信息和资产安全。

在上述实验中，某网民的新浪邮箱就注册了12306网站，工程师通过邮箱顺利找回了账户密码并成功登录。12306网站中记录的用户真实的姓名、身份证号、手机号码，以及大量的常用联系人的真实信息，均遭到了泄露。别有用心的攻击者利用这些身份信息、亲属关系，还可以破解更多帐号和服务，引发链式效应，甚至进行电信诈骗!

其实，不仅12306网站，许多其他网络服务都具有通过注册邮箱找回密码的机制。在上述实验中，工程师利用这个方法还成功登录了网民的亚马逊账户，可以查看他的所有购物历史记录和收货地址。但是，一些超级敏感和重要的网络服务，比如支付宝，就采用了双重或者多重验证的更加安全的机制，找回密码不仅需要注册邮箱，还需要手机短信验证码等信息。

鉴于12306网站用户量巨大，还记录着个人及亲属的大量真实且敏感的信息，金山毒霸安全专家认为其现有的安全机制还存在提升的空间，提供了三点建议：第一，找回密码需要手机验证码等其他辅助验证机制;第二，身份证号、手机号等信息部分展示，中间变成“*”，只显示前后4位;第三，登录时进行数字证书验证，登录地点异常时，需要手机短信验证。

安全专家还建议普通网民，尽量不要使用来历不明的公共WiFi，更不要在连接公共WiFi的时候使用电子邮箱、网购、网银等关键的网络服务;家中的路由器后台和WiFi连接密码也应设置得复杂一些，减少被恶意攻击和劫持的可能性;建议使用路由管理大师等工具免除被蹭网的风险。

(责任编辑：冬天的宇)