| ||||||
上 周筆者以「勿用耳朵代眼睛」為題,籲讀者不要盲目跟隨消息入市,4萬億元人民幣救市方案未必就有化腐朽為神奇之能,結果兩周過去,大部份個股依然乏善可 陳,反而筆者在13700水平造淡,卻有不俗賺頭,並在上周四於11900水平附近平倉獲利,功成身退。周四平倉之後,歐美股市繼續下跌,起初仍只算反 覆,但美國聽證會之後,美股便開始崩堤式下跌,當晚凌晨便收到讀者Annie電郵,話大市擺明再跌,淡倉是否平得太早?筆者今次睇市是否出錯? 跟隨系統買賣 筆 者明白,大市如斯下跌,沽家得勢不饒人,有此疑問實屬合理,正如筆者早前在13700水平造淡,亦有讀者問熊市追沽是否太過危險一樣。其實筆者平倉,皆因 系統目標已達,是否繼續持倉,純看投資者的個人取向,牛市之時,股價總是會升到你唔信,當時大可嫌賺得唔夠,放心長期持有,但熊市市況反覆,賺夠就要走, 要學識知足,唔強求。市場上經常有「專家」預測大市見底點數,其實股市裏沒有神仙,真正專家都估唔到底,何況筆者只係炒家一名?所以士佳常話投資跟系統, 買賣平常心,周四平淡倉後,手中尚餘適量正股,筆者唔敢講已作出最佳決定,但熊市賺錢殊不容易,今次能夠從淡倉獲利,減低日後儲貨成本,已經無憾,亦懶理 當晚美股升跌。結果,周五早上筆者剛覆完Annie電郵,大市隨美股低開,但幅度遠低於預期,不久更展開極地反彈,由11700反彈至13100,市場氣 氛逆轉,投資者即由問筆者「是否平得太早?」,變成問「係咪撈得貨?」。發問上述問題,證明投資者亦被市場牽着走,見升看升,見跌看跌。筆者不知道大市會 否就此見了近期底,但回心一想,如果前一日未有在11900附近平倉,如今大市狂升,肯定會被市況影響判斷,尤其午後大市高開,氣勢何其凌厲,隨時就在最 高位平倉,利潤即時化為烏有。近日筆者捉到市場節奏,在升前叫揸,跌前嗌沽,全靠多年投資及睇圖經驗,圖表會說話,所言非虛,有長期跟進本欄的讀者,近日 應該有所斬獲。熊市之中,需要幫忙的人越來越多,如讀者能從淡倉之中獲利,力之所及,亦應抽出部份利潤幫助有需要的人,多做善事。張士佳 |
每經記者 孟慶建 發自深圳
昨日(12月25日)上午,據烏雲漏洞平臺曝料,大量中國鐵路客服中心12306用戶數據在互聯網上被瘋傳販售,泄露資料包括用戶賬號、明文密碼、身份證、郵箱等敏感信息,目前尚不清楚這些數據是從何途徑泄露的。
據該漏洞曝料者、名為“追尋”的白帽子披露,這批12306數據先是在網上售賣,目前已變成公開傳播。對此,中國鐵路客戶服務中心回應稱,“經我網站認證審核,網上泄露的用戶信息系經其他網站或渠道流出”,並提醒勿用搶票軟件。目前,公安機關已經介入調查。
《每日經濟新聞》記者從瑞星互聯網攻防實驗室獲悉,目前已經獲得該文件完整信息,14MB(兆)大小的文件中,泄露信息約有131653條,且用戶信息100%真實有效。同時,瑞星披露,在對12306網站安全監測時,發現6個子網站存在Struts2遠程監控漏洞,利用子網站入侵主站是一種慣用手段,但因權限問題不能確認泄密路徑。
13萬條真實信息遭泄露
記者從烏雲平臺獲悉,這則關於12306網點的漏洞報告,危害等級顯示為“高”,漏洞類型則是“用戶資料大量泄漏”。報告描述在互聯網上瘋傳的信息,包括用戶賬號、姓名、明文密碼、身份證號碼以及郵箱等。泄漏途徑未知,漏洞已經提交給了國家互聯網應急中心進行處理。
據瑞星完整獲取的遭到泄密的資料顯示,在14MB大小、名為《12306郵箱-密碼-姓名-身份證-手機(售後群31109xxxx).txt》的文件中,泄露信息有131653條,且用戶信息100%真實有效。
瑞星高級工程師唐威向 《每日經濟新聞》記者介紹,“13萬條用戶數據或許只是冰山一角,瑞星同時獲取了另外一份疑似12306網站的泄露文件,目前正在檢測,該文件大小為22GB(千兆)。如果信息確認是用戶數據,初步推算泄密人數約為2億,不排除有人利用泄露信息獲利的可能。”不過,截至記者發稿時,這些文件信息尚未得到確認。
中國鐵路總公司相關人士表示,12306網站為中國鐵路總公司信息技術中心主管,鐵總歷年均強調旅客不要使用第三方搶票軟件進行惡意刷票,但目前經12306網站所出車票有80%是通過搶票軟件實現的,且該比例還在不斷提升。
中國鐵路客戶服務中心也提醒旅客,不要使用第三方搶票軟件購票,或委托第三方網站購票,以防止個人身份信息外泄。部分第三方網站開發的搶票軟件中,有捆綁式銷售保險功能。
6個子網站存漏洞
根據瑞星互聯網攻防實驗室研究,信息泄露可能有三條路徑:一是12306網站自身出現問題;二是第三方搶票軟件或插件出現信息漏洞;三是黑客用“撞庫”的方式獲取這部分用戶信息。
“撞庫”是指黑客采用此前其他平臺泄露的用戶信息,用自動化程序在12306大量登錄實驗,有相同賬號和密碼成功登錄即可獲取更多用戶信息。
“國內互聯網公司大多出現過信息泄露事件,發生‘撞庫’並不意外。”唐威表示,瑞星在對12306網站安全監測時發現,12306主網站下屬包括南方貨物快運服務站、東北貨物快運服務站等6個子網站發現了Struts2漏洞,利用該漏洞入侵者可以獲取子網站管理員權限,並可以通過惡意代碼控制子網站服務器對主站進行跳板入侵獲取信息。
唐威進一步表示,“可以肯定的是漏洞存在,控制子網服務器入侵主網站也是黑客慣用手段,理想狀態下可以通過該漏洞取得用戶信息,但是因權限不允許測試,瑞星也不能確定這是信息泄密的路徑。”
2013年7月17日,烏雲漏洞報告平臺、SCANV網站安全中心等安全機構紛紛發出紅色警報:Struts2再曝高危漏洞,該漏洞影響到Struts2.0-2.3.15版本,可直接導致服務器被遠程控制,引起數據泄露。蘋果、淘寶、京東、民生銀行在內的多家公司及金融機構網站查出該漏洞。
彼時,國內網站安全服務商SCANV.COM確認,攻擊者可以利用該漏洞,執行惡意Java代碼,最終導致網站被完全入侵控制。
安全專家提示,12306網站數據泄露有可能出現衍生風險:郵箱被“撞庫”,更多個人信息因此被盜,手機號、身份證號被泄露,甚至包含親友信息。
據唐威介紹,泄露文件中大部分用戶采用了QQ郵箱和163郵箱作為賬號,如果購票明文密碼與QQ一致,黑客同樣可以采用“撞庫”的方式登錄QQ或者微信,容易造成更大損失,因此提醒12306用戶盡快重設相關賬戶登錄密碼,保護信息安全。
從蘋果官網獲悉,針對iPhone的意外關機問題,今日官網又發布“留心假冒部件”的提示,警示消費者假冒或第三方電源適配器以及電池可能會導致安全問題。此前蘋果官網也發布了在指定範圍內的iPhone 6s免費更換電池、承諾近期在更新iOS系統時加入檢測手段等一系列計劃。
蘋果官網稱,某些假冒和第三方的電源適配器及電池可能設計不當,有可能會導致安全問題。
為了確保在電池更換時能夠獲得一塊正品Apple電池,蘋果建議前往一家Apple Store商店或Apple授權服務提供商。如果需要更換一個新的適配器來為自己的Apple設備充電,蘋果建議選擇Apple的電源適配器。
此前多名用戶反映自己的 iPhone 6s 會在電量未耗盡時自動關機後,蘋果給出的解決方案是免費為用戶換電池。
據悉,最近更換電池的用戶較多,這給 Apple 直營店和授權店帶來了一定的壓力,在這個時間點,某些“不正規”的手機維修站點開始向前來更換電池的用戶提供沒有安全保障的電池,而電池這一部件在電子設備中又是比較重要的。這可能是蘋果在官網加上這段安全提示的主要原因。