12306官網用戶信息遭泄露 超13萬旅客信息遭外泄

　　某數據網站用戶12月10日晚8點22分發帖稱，可下載遭泄露的用戶信息，並配有用戶信息截圖。網絡截圖

　　昨天上午，第三方漏洞報告平台“烏雲網”披露，大量12306網站用戶信息遭泄露，已知公開傳播的數據庫涉及的用戶數據超過13萬條，泄露信息包括用戶賬號、明文密碼、身份証、郵箱等。12306官網回應稱，網泄用戶信息經其他網站或其他渠道流出，並提醒旅客不要使用第三方搶票軟件購票。隨后，百度、獵豹、360等多家第三方購票平台發聲稱與此次用戶信息泄露事件無關。目前，公安機關已介入調查。

　　■網曝

　　超13萬旅客信息遭外泄

　　昨天上午，第三方漏洞報告平台“烏雲網”發布檢測信息稱，大量12306用戶數據在互聯網傳播售賣，已知公開傳播的數據庫涉及用戶數超過13萬條，包括用戶賬號、明文密碼、身份証、郵箱、信用卡信息、購買記錄等。

　　信息稱，泄露途徑目前未知，無法確認是12306官方還是第三方搶票平台泄露，漏洞已提交至國家互聯網應急中心處理。

　　“烏雲網”合伙人鄔迪表示，網站發現漏洞后，召集多名“白帽子”（正面黑客，可識別計算機系統或網絡系統中的安全漏洞並公布）對遭泄露的數據庫隨機選取多組數據在12306官網進行驗証，竟均能登錄。

　　記者從相關網站了解到，泄露數據信息的文件標題為《12306郵箱-密碼-姓名-身份証-手機（售后群：31109xxxx）.txt》，共計131653條記錄、文件約14M。

　　■回應

　　12306官網

　　泄露信息系其他網站流出

　　對此，12306官方網站昨天發布公告稱，經網站認真核查，此泄露信息全部含有用戶的明文密碼，並稱12306網站數據庫所有用戶密碼均為多次加密的非明文轉換碼，網上泄露的用戶信息系經其他網站渠道流出。目前，公安機關已介入調查。

　　12306網站提醒，為保障信息安全，請旅客通過12306官網購票，不要使用第三方搶票軟件購票，或委托第三方網站購票，以防止旅客個人身份信息外泄。

　　同時，12306官網還提醒旅客，部分第三方網站開發的搶票神器中，有捆綁式銷售保險功能，請廣大旅客注意。

　　第三方購票平台

　　多家搶票平台發聲“表清白”

　　昨天，12306網站發表聲明后，多家第三方搶票平台紛紛發聲“以表清白”。

　　百度表示，百度安全衛士將搶票功能集成到安全軟件的安裝包中進行保護，用戶信息僅在安裝客戶端的電腦上，百度沒有存儲個人信息，不存在泄露情況。

　　獵豹也表示，此次事件與獵豹移動無關，獵豹移動既不存在保存用戶數據行為，也從未推出必須使用明文密碼的離線搶票功能。

　　“360瀏覽器搶票軟件具有業界最嚴格的安全防護機制，從沒有發生數據泄露。”奇虎360安全工程師表示，此次12306數據泄露與搶票軟件無關，而是與其自身網站存在漏洞被黑客撞庫。360方面通過對涉及此次信息泄露用戶進行抽樣調查后發現，有用戶沒有使用過搶票軟件或者採用了不同的搶票軟件。

　　此外，UC瀏覽器、攜程網、高鐵管家APP等搶票平台也均表示與此次用戶信息泄露事件無關。

　　■探因

　　疑為黑客“撞庫”獲取信息

　　獵豹安全專家李鐵軍認為，撞庫攻擊造成12306信息泄露的可能性較大。導致此次12306網站用戶數據泄露有可能是以下幾種原因：一是12306被入侵，數據被盜﹔二是第三方搶票軟件存儲了12306的數據，被黑客入侵后被盜﹔三是黑客通過其他已泄露的郵箱數據庫，進行撞庫攻擊。

　　“烏雲網”合伙人鄔迪也表示，初步推斷可能是黑客通過“撞庫方式”獲得。

　　何為“撞庫”？鄔迪介紹，網友在網站注冊時，網站會將注冊用戶的數據保存在一個數據庫中。一些黑客會通過相關手段獲得並積累多個網站的數據庫，然后用積累數據庫的信息對某網站進行逐個測試，當撞到積累的信息可進入某網站時，就獲得了該網站的注冊信息，這就是“撞庫”。

　　■影響

　　旅客購票信息可能遭篡改

　　鄔迪稱，12306官網的用戶信息遭到泄露可能造成三方面影響。一，由於網友可能在多網站共用同一個用戶名或密碼，因此遭泄露信息用戶的其它網站賬號可能會被盜用，更多個人信息因此被泄露﹔二，由於遭泄露信息涉及用戶的姓名、身份証號、手機號等敏感個人信息，因此會滋生各種不安全因素，比如遭遇網絡詐騙、信息詐騙等﹔三，泄露信息可能遭到黑客利用，旅客購票信息可能會遭到篡改。昨天，記者在微博上發現，已有一些網友吐槽自己訂的火車票居然被退掉了。

　　相關網絡安全專家建議，用戶應盡快修改12306登錄密碼﹔修改登錄12306時使用的郵箱密碼，郵箱和12306網站不要使用相同的登錄密碼。同時，切勿使用離線搶票功能。因為離線搶票就是第三方托管服務，必須明文存密碼，且沒法加密。

　　對此，鐵路部門也提示旅客，一定要通過官網或官方APP購買車票，避免不必要的損失。

　　■鏈接

　　12306官網多次被曝存漏洞

　　◎2014年7月17日，“烏雲網”曝光12306購票軟件存漏洞，正常一部手機同一時間隻能有一個賬號登錄來購票，票販子利用漏洞可使用一台電腦模擬多部手機多賬號鏈接12306的售票系統，一人就可無限買一車廂的票。

　　◎2014年7月，網友稱利用12306官網漏洞購票可選上下鋪，該漏洞隨后被修復。

　　◎2014年1月2日，網友稱可用假護照、假身份証隨意訂票。用身份証生成器做假身份証號，用號碼可在12306網站上訂票。12306工作人員稱，因網站未與公安系統聯網，故無法辨別身份証真偽。

　　◎2013年12月6日，新版中國鐵路客戶服務中心12306網站上線，僅幾個小時后被“烏雲網”指出存在漏洞，可能導致用戶信息泄露。