快改密码 470万条12306用户信息遭泄露 嫌犯供述窃取渠道

春运即将开启，很多人每天最关心的事情大概是紧盯12306抢回家票。不过，12月28日有网友报料，在暗网有人出售60万个12306账号和410万条联系人数据。

470万条12306用户数据疑遭泄露？警方通报！

12月28日上午，有人在网上宣称12306平台旅客信息泄露，低价出售60万账户信息、410万联系人数据，还免费公开部分账号供买家验证。

记者随机验证了几个号码，均成功登录。对此，12306官方客服表示，平台未发生用户信息泄露情况，网络售卖信息为旅客登录第三方平台时泄露。而发布“发现暗网兜售12306账号”信息的微信公号，删除文章后发布了“致歉声明”，称目前该兜售渠道已不存在。

据＠首都网警12月31日通报，网传有人利用互联网贩卖470余万条疑似12306铁路订票网站的用户数据经查，男子陈某在网上贩卖疑似12306铁路订票网站的用户数据，包含60余万条用户注册信息和410余万条铁路乘客信息。陈某已被刑拘。

通报全文：

12月28日，北京市公安局网络安全保卫总队（以下简称网安总队）工作中发现，网传有人利用互联网贩卖470余万条疑似12306铁路订票网站的用户数据，引发社会广泛关注。中国铁路总公司官方微博回应“网传信息不实，12306网站未发生用户信息泄露”。

获此情况后，网安总队立刻会同西城分局成立专案组开展工作。经查，一网络用户“deepscorpions”在网上贩卖疑似12306铁路订票网站的用户数据，包含60余万条用户注册信息和410余万条铁路乘客信息。经专案组网上侦查、溯源追踪，成功锁定犯罪嫌疑人为我市西城区某科技有限公司员工陈某（男，25岁，河北省邢台市人），后于29日在该公司所在地将其抓获归案。

经讯问，陈某供述60余万条用户注册信息，系其前期在网上非法购买所得，并非通过对12306官方网站技术入侵获取。其余410余万条铁路乘客信息，系其利用上述用户注册信息，通过第三方网络订票平台非法获取。

目前，嫌疑人陈某因涉嫌侵犯公民个人信息罪被西城分局刑事拘留。案件正在进一步审理中。

12306账号频频被卖，谁是泄露者？

早在2014年12月25日，漏洞报告平台乌云网上，就曾出现一则关于12306的漏洞报告，危害等级显示为“高”，漏洞类型则是“用户资料大量泄露”。

当时，各方的回应如出一辙，如12306表示“系经其他网站或渠道流出。”而众多第三方也都纷纷与之切割，如百度回应“百度卫士抢票宝本身就是一款安全软件……不会出现泄露问题”；携程回应称，“此事与携程没有任何关系”；360回应称，“360浏览器抢票软件具有业界最严格的安全防护机制，从未发生数据泄露情况”等。

2014年泄露事件发生的当晚，铁路公安将涉嫌窃取并泄露信息的犯罪嫌疑人抓获。后来查明，嫌疑人是通过收集某游戏网站以及其他多个网站泄露的用户名加密码信息，尝试登录其他网站进行“撞库”，从而获取用户信息。也就是说，那些在多个平台用同一账户和密码的用户，基本就这么一试就“暴露”了。

网警在转发中铁总辟谣微博时提醒网友，“为确保安全，建议大家尽快修改个人密码，如果其他软件使用的密码跟12306一致，记得要一并修改。”

近些年来，每到春运抢票大战降至之际，网上总会流传12306泄露数据暗交易的新闻，个人信息的泄露，无异于给准备回家过年的人们心里，增添更多的焦虑和阴影。

所以，无论是12306，还是一些其他的抢票软件，都不能因为自己不是泄露的源头，就高高挂起。最起码要有“魔高一尺道高一丈”的技术信心和野心，不断查漏补缺，为用户建立起更安全更高效的服务平台。俗话说，苍蝇不叮无缝的蛋，提高“防撞击”能力，也是改进的方向。

互联网平台的用户信息泄露，几乎每一次，平台都会提醒用户及时更改密码，甚至提倡用户使用不同的账户和密码。但如今，互联网早已深入大众生活的方方面面，太多平台的太多账户，指望用户都用不同的账户和密码，是不现实的。而从更大的格局讲，如果我们的应对措施只能是“让用户改密码”，这其实是把平台的责任转嫁给用户，是让最脆弱的一环承担起最后的狙击，怎么看都有一种无力感和悲壮感。