昨天，第三方漏洞发布平台乌云网称，大量12306用户数据在互联网疯传，包括账号、明文密码、身份证号、邮箱等个人信息。对此，12306铁路客户服务中心官网发布了《关于提醒广大旅客使用12306官方网站购票的公告》，称网上泄露的信息系经其它网站或渠道流出，公安机关已介入调查。 

    用户信息遭传播售卖

    昨天，第三方漏洞报告平台乌云网发布消息称，接到网友的截图爆料，十余万户的12306用户信息遭泄露。乌云社区初步调查发现，似乎是通过“撞库”得到的数据，但被人提取并整理了12306平台上的用户个人信息。所谓“撞库”，是指黑客通过收集网络上已泄露的用户名及密码信息，生成对应的“字典表”，到其他网站尝试批量登录，得到一批可以登录的用户账号及密码。

    乌云网核实发现，12306网站出现用户数据泄露漏洞，大量12306用户数据在互联网（论坛、网盘等途径）遭疯传，包括用户账号、明文密码、身份证、手机、邮箱等。据介绍，用户数据只是在传播售卖，目前数据泄漏途径未知，仍无法确认是12306官方还是第三方抢票平台泄漏，希望官方立即介入调查并且通知已泄密用户修改密码。漏洞已提交至国家互联网应急中心处理，相关部门尚未对此回应。此外，近年来大量出现的第三方抢票平台也成为用户数据泄露的可能途径。为了让购票更迅速，运行时可能省去了一些步骤。这些软件多数未经过安全检测，不排除泄露用户个人信息的可能。

    据雷锋网称，本次泄露数据有多种说法，比如黑客“撞库”得到相关信息、第三方抢票软件泄露、12306许久前曾遭受攻击。目前网络上广泛流传的是14MB用户数据，该样本数据的文件标题为《12306邮箱-密码-姓名-身份证-手机（售后群：31109xxxx）.txt》，共计131653条记录。网络安全公司知道创宇研究部总监表示，经过仔细分析，这些用户数据是真实的，基本确认为黑客通过“撞库攻击”所获得。有网友下载到相关数据表示，里面有用户个人ID信息，也有人针对泄露信息打电话询问，当事人称最近并未购买过火车票。除了14MB之外，网络上还流传18GB、37GB两种说法，但这两种说法尚未有佐证信息。

    勿使用第三方抢票软件

    12306铁路客户服务中心官网的《公告》中说，针对互联网上出现 “12306网站用户信息在互联网上疯传”的报道，经12306网站认真核查，此泄露信息全部含有用户的明文密码。 12306网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。目前，公安机关已经介入调查。

    12306网站郑重提醒旅客，为保障用户的信息安全，请通过12306官方网站购票，不要使用第三方抢票软件购票，或委托第三方网站购票，以防止个人身份信息外泄。

    同时，12306网站提醒旅客，部分第三方网站开发的抢票神器中，有捆绑式销售保险功能，请旅客注意。

    存在三种“漏洞”可能

    记者咨询了青岛IT专家邴刚，他分析可能有三种原因，第一种是黑客利用漏洞信息恶意攻击，这是12306网站本身的系统漏洞导致的数据库资料泄露，黑客利用漏洞入侵了12306网站的服务器，可以远程拷贝和下载服务器里的数据，得到里面的用户数据信息。第二种可能是这种漏洞是第三方软件导致的，现在很多抢票软件都是利用服务器的特性批量提交和获取数据，在这个过程中可能无意之间触发了一种机制，该机制可以获取敏感数据。也就是说，第三方软件在提交了一个数据之后，可以实现“撞库”，这也是由于12306网站本身的系统不完善导致的，正常情况下，用户在提交数据后，12306网站不应该反馈出敏感信息。比如，用户提交一个采购请求，如果故意提供错的身份证信息，12306本身要比对数据库中该用户的身份信息是否一致，在比对过程中系统要先反馈一个数据过来，用户可能直接抓取了反馈过来的数据包，解密后从中抓取了真实的身份信息，归根到底是因为网站代码写得不完善所致。

    此外还有第三种可能，黑客从别的网站数据库获得了大量的用户身份信息，然后把这些身份信息用在了12306网站上发现可以正常登录。抢票软件本身有个功能就是批量地提交请求，12306的验证码直接被抢票软件识别，黑客利用抢票软件批量地提交数据登录请求，登录成功的用户数据可以被筛选出来，然后再获得用户的详细个人信息，这些都是在网络软件的帮助下完成的。判断是不是第三种情况可以看泄露数据的数量，如果是部分用户数据泄露应该属于第三种原因，如果是大部分或者全部用户泄露则是前两种原因。获得数据后，如果黑客拿着这些个人信息再去登录“支付宝”等有关的数据平台，就会造成较大危害。

    黑客盗走支付宝内32万

    今年4月底，一名男子到苏州市公安局娄葑派出所报案说，在查看自己的支付宝账户时，发现里面的32万元存款不见了，而且手机没有收到任何支付宝发来的信息。办案民警查证发现，这个支付宝从4月13日到4月23日，分230笔向69个支付宝账户进行了转账，每笔金额都没超过2000元。而报案人因为平时资金流动频繁，关闭了2000元以下的短信校验服务功能。这说明，嫌疑人成功登录了报案人的支付宝账户，并发现了这个设置。

    嫌疑人何某某落网后交代，他在网上以2元钱一个的价格，购买了上百个有效的支付宝账号和密码，进入到这些支付宝账号里，一个个去试，最终在这个账户上发现了很多钱。支付宝公司回应称，受害人应该是遇到“撞库”和“扫号”了。黑客用技术手段入侵一些安全防范不高的中小网站，取得大量的用户注册名和密码数据，然后再把这些信息跟网络银行、支付宝、淘宝等有价值的网站进行匹配登录，这就是“撞库”。实际操作中，黑客往往是通过专门的“扫号”软件，批量验证账号密码是否有价值。警方提醒，平时上网至少要设定两套用户名和密码，把涉及钱财的账户名密码和一般生活用的账户名密码分开，提高账户的安全等级。

    新闻链接

    非法获取信息可判刑

    针对个人信息泄露事件，2009年最高院发布《最高人民法院、最高人民检察院关于执行〈中华人民共和国刑法〉确定罪名的补充规定（四）》，该司法解释在2009年10月16日起施行。司法解释中新确立了13个罪名，其中包括非法获取公民个人信息罪。这是指以窃取或者其他方法非法获取国家机关或者金融、电信、交通、教育、医疗等单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的行为。根据刑法规定，该罪可处三年以下有期徒刑或者拘役，并处或者单处罚金。

    专家支招防止个人信息泄露

    ■立刻修改12306登录密码，但由于新密码同步到所有服务器需要时间，部分用户修改密码后，或许不能立刻登录；

    ■尽快修改登录12306时使用的邮箱密码，邮箱服务和12306网站服务一定不要使用相同的登录密码；

    ■由于12306数据泄露的内容还包含手机号、身份证号，除了自己的信息之外，还会泄露亲友的身份信息，因此建议受信息泄露影响的所有人小心处理可能的诈骗电话和短信。

    ■同时，与银行转账汇款有关的业务，务必电话确认身份。

    ■用户的常用邮箱、网上支付等重要账号一定要单独设置高强度密码，并定期对密码进行修改。

    新闻内存

    12306多次被曝漏洞

    ●去年12月，开售春运车票首日，12306网站被曝因大规模串号问题泄露用户信息，众多网友表示看到了他人的姓名和身份证号码，其中身份证、手机号与个人姓名等信息都严重泄露，很容易遭不法分子利用。

    ●去年12月，乌云网再曝出12306网站某接口由于权限及CDN缓存导致可以获取用户信息，该漏洞的危险等级为高级。

    ●今年1月，有网友爆料称，在12306网站订票可以用假名字、假身份证、假护照完成订票。有人用“庆丰包子铺”、“西门吹雪”作为车票上的人名，在12306网站订票后，取票乘车，竟然顺利从福州站到福州南站往返，中间还进行了改签和退票。不久，利用12306漏洞购票选上下铺的攻略在网上转发。

    ●今年7月，乌云网曝出12306购票软件存在漏洞，一人可购买一车厢的票。（青岛晚报/掌上青岛/青网 记者 张译心）