12306用户资料遭大量泄露，公安机关已介入调查。第三方抢票软件开发商：黑客进行“撞库”攻击的可能性最大

【IT时代网、IT时代周刊报道】眼下正值春运抢票高峰期，乌云漏洞平台突然爆出了一个骇人听闻的消息：12306用户资料疑似大量泄漏，甚至有明文形式的密码，以及身份证、邮箱等敏感信息。有消息称，此次遭泄露的账户数量在14万左右。乌云方面也对此进行了深入研究，发现利用正在流传的数据，随即抽查几个帐号验证，确实可以登录。

据了解，这则关于12306的漏洞报告，危害登记显示为“高”，漏洞类型则是“用户资料大量泄漏”，这意味着，这个漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露，而泄漏的途径目前不明。据悉，目前该漏洞已经提交给了国家互联网应急中心进行处理，暂无进一步消息。

对此，中国铁路客户服务中心发布公告称，经过核查确认泄露信息全部含有用户的明文密码。同时，铁路客服中心还表示，12306数据库中的所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。目前，公安机关已经介入调查。

铁路客服中心在回应公告中还称，“我网站郑重提醒广大旅客，为保障广大用户的信息安全，请您通过12306官方网站购票，不要使用第三方抢票软件购票，或委托第三方网站购票，以防止您的个人身份信息外泄”。

猎豹移动安全专家李铁军在接受IT时代网、IT时代周刊采访时说，我们通过对网上公开传播的13万条用户数据分析，此次12306网站用户数据泄露，黑客通过其他已泄露的邮箱数据库，进行“撞库”（即通过相同的用户名密码尝试登录12306网站）攻击的可能性最大。此次事件与猎豹移动无关。猎豹移动既不存在保存用户数据行为，也从未推出必须使用明文密码的离线抢票功能。李铁军建议用户，要立即修改12306的登陆密码。

360安全专家安扬对IT时代网、IT时代周刊记者表示，12306用户需要注意修改密码，避免已经订到的火车票被恶意退票。如有其他重要账号使用了相同的注册邮箱和密码，应一并修改。目前正值春运火车票购买高峰，12306的用户数据泄露事件会对用户网上购票造成一定心理影响，本次事件也再次为互联网上的信息安全敲响了警钟，安扬提醒用户常用邮箱、网上支付等重要账号一定要单独设置高强度密码，并定期对密码进行修改。

百度安全方面也回应称，未曾收集用户信息，个人隐私数据并未从百度安全卫士泄露，百度方面建议用户立刻修改12306登录密码，以及其他网站上一致的用户名和密码等个人信息。

此前，12306已多次被曝出漏洞。早在今年1月份，有网友爆料称，12306订票网站可以利用假护照、假身份证完成订票。之后利用12306漏洞购票选上下铺的攻略在网上转发。今年7月15日，乌云又曝出12306购票软件存在漏洞，一人可购买一车厢票。

【话题】您对此事的看法是？

以下为中国铁路客户服务中心回应全文：

关于提醒广大旅客使用12306官方网站购票的公告

针对互联网上出现“12306网站用户信息在互联网上疯传”的报道，经我网站认真核查，此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。目前，公安机关已经介入调查。

我网站郑重提醒广大旅客，为保障广大用户的信息安全，请您通过12306官方网站购票，不要使用第三方抢票软件购票，或委托第三方网站购票，以防止您的个人身份信息外泄。

同时，我网站提醒广大旅客，部分第三方网站开发的抢票神器中，有捆绑式销售保险功能，请广大旅客注意。【责任编辑/李响】

来源：IT时代网

IT时代网(关注微信公众号ITtime2000，定时推送，互动有福利惊喜)所有原创文章版权所有，未经授权，转载必究。
创客100创投基金成立于2015年，直通硅谷，专注于TMT领域早期项目投资。LP均来自政府、互联网IT、传媒知名企业和个人。创客100创投基金对IT、通信、互联网、IP等有着自己独特眼光和丰富的资源。决策快、投资快是创客100基金最显著的特点。