春运高潮未到，12306再曝出现“漏洞”，用户信息泄露#看好你的票#

今天下午，已经顺利度过放票时的流量高峰的12306，又迎来另一个流量高峰——得知12306大量用户密码身份证等信息泄露的网民，蜂拥登陆修改密码！是的，12306被指出现“漏洞”。

今天上午11点整，来自第三方漏洞报告平台乌云网的一则漏洞报告称，12306（中国铁路客户服务中心网站）出现“高危漏洞”，大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等。

乌云网漏洞报告者称，数据只是在传播售卖，目前无法确认是12306官方还是第三方抢票平台泄漏。

这意味着，这个漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露，而泄漏的途径目前还不知道。

不过，该漏洞已经提交给了国家互联网应急中心进行处理，公安机关已介入调查，暂无进一步消息。

除此之外，12360在其官方网站发布公告，提醒广大用户及时修改密码，警惕第三方“抢票神器”，并否认用户信息泄露由该网站流出，而是经其他网站或渠道流出。

以下是12306官方网站购票的公告全文：

关于提醒广大旅客使用12306官方网站购票的公告

针对互联网上出现“12306网站用户信息在互联网上疯传”的报道，经我网站认真核查，此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。目前，公安机关已经介入调查。

我网站郑重提醒广大旅客，为保障广大用户的信息安全，请您通过12306官方网站购票，不要使用第三方抢票软件购票，或委托第三方网站购票，以防止您的个人身份信息外泄。

同时，我网站提醒广大旅客，部分第三方网站开发的抢票神器中，有捆绑式销售保险功能，请广大旅客注意。

中国铁路客户服务中心

2014年12月25日

根据12306的公告，用户信息泄露是”系他网站或渠道流出“，那么其他网站对此又如何表态？（该部分内容部分来源于：我在现场）

360公司：从未发生数据泄露

针对今天上午12306网站用户资料大量泄露一事，360公司回应称，360浏览器抢票软件具有业界最严格的安全防护机制，从没有发生数据泄露情况。

知道创宇：黑客“撞库攻击”获得数据

事件发生后，知道创宇安全研究团队立刻获取了该文中提到的样本数据，经过初步推测该批数据的来源有3种可能性：黑客直接攻击网站；散播刷票软件等木马程序；利用现有用户数据进行“撞库攻击”。

经过 3个小时的调查，团队得出如下结论：

该批131653条的12306用户数据是真实的。

该批数据基本确认为黑客通过“撞库攻击”所获得。

当前网上并无18G的12306数据的流转迹象。

撞库攻击

黑客入侵有价值的网站，把注册用户的资料数据库全部盗走，俗称“拖库”。收集到用户名+密码信息后，黑客再尝试批量登陆其他网站，也就是进行“撞库”，由此得到一系列可以登陆的用户。

以京东之前的撞库举例，京东的数据库并没有泄漏，但黑客通过“撞库”的手法，“凑巧”获取到了一些京东用户的数据（用户名+密码），而这样的手法，几乎可以对付任何网站登录系统，用户在不同网站登录时使用相同的用户名和密码，就相当于给自己配了一把“万能钥匙”。

也就是说，假如现场君习惯用“我在现场”这个用户名和“123456”这个密码申请邮箱、注册论坛、上网购物、QQ聊天……如果现场君注册过的其中一个网站安全比较薄弱，黑客从网站获取现场君的用户名和密码后，就可以用这套用户名和密码去其他网站“碰碰运气”。以现场君的注册习惯，黑客将连连得手！

12306究竟有没有责任？

那么，黑客到底攻击了哪个（或哪些）使用明文密码的网站，进行了“拖库”，然后通过“撞库攻击”获取了13多万条的数据呢？

责任究竟在谁？12306究竟有没有责任呢？目前还不明朗。现场君的分析是，假如黑客从别处“拖库”，那应该与12306没有关系。

知道创宇团队通过随机访问用户，目前已排除了抢票软件泄漏的可能。团队还随机联系了该批数据中的多个qq用户，均反馈没有使用过抢票软件且近期没有购票行为；团队专家余弦表示，这是目前推理出的最符合的结论，但是黑客世界水深且风云变幻，说不定爆出另一种掉下巴结论。大家只要知道：“我们是在做尽可能严谨的推理就好。”

12306官方网站在声明中表示，公安机关已经介入调查。

火速更改12306等网站的登录密码

余弦表示，目前网上还可以下载到这些泄露的用户数据。

在微博上看到了网友获得数据后的截图，所以——

广大12306用户务必尽快修改12306网站密码，其他网站、网银、第三方支付软件等利用与12306注册邮箱、密码一致的也应立即修改。更需要提醒的是，这些数据有可能被犯罪分子用作精准诈骗，近期应谨防诈骗短信、诈骗电话等。

应在官网购买火车票

在声明中，12306网站还提醒广大旅客，应通过12306官方网站购票，不要使用第三方抢票软件购票，或委托第三方网站购票，以防止个人身份信息外泄。

另外，12306网站还提醒旅客，部分第三方网站开发的抢票神器中，有捆绑式销售保险功能。

腾讯手机管家安全专家提醒，用户最好通过12306官方站点购买车票，“抢票软件”可能是本次用户数据泄露的元凶。

抢票平台可能泄露用户数据

尽管这次可能性不大

专家介绍，第三方平台为了让购票更迅捷，运行时可能省去了一些步骤。而这些软件大多未经安全检测，安全性难以保障。

除了12306外，CSDN、携程、天涯、当当等都曾被黑客攻破，导致用户个人信息泄露。腾讯手机管家安全专家提醒各大站点务必做好数据加密工作，杜绝使用明文密码行为，确保用户数据安全。

90%以上电信诈骗源于个人信息泄露

据天下无贼-反信息诈骗联盟统计，目前90%以上的电信诈骗源头都是“个人信息泄露”，直接导致的结果是电信诈骗从撒网式诈骗向精准诈骗升级，再配合网络改号软件、伪基站、钓鱼网址、木马病毒等高科技手段，让电信诈骗更容易得手，单个案件的金额越来越大。

安全专家支招防诈骗

学会设置密码丨很多用户设置密码过于简单，最规范的密码设置方式是“大写字母+小写字母+数字+符号”，重要的账号要设置单独的密码，不要与其他账号重复。

保护好手机丨万一手机被盗，个人身份信息又存在手机中，比如身份证照片，犯罪分子可以直接通过手机修改支付宝、淘宝等各类网购支付账号密码，导致资金被盗刷。

学会防范电信诈骗丨目前，电信诈骗招数五花八门，广大手机用户当遇到公检法、航班改签、网购退款、10086积分等短信、电话时千万当心，绝大多数都是诈骗。同时，警方不会打电话办案，更不存在任何“安全账户”，不要向任何陌生账号转账，不要打开任何陌生网址。安装专业手机安全软件，比如，腾讯手机管家可实现对诈骗短信的精准拦截，可识别各类诈骗电话。

虎嗅对12306用户信息泄露的观察：

回顾12306网站多年的运营情况，2012年底该网站就曾因故障两次发公告暂停网上售票。值得一提的是，差不多也是在去年的这个时间段，第三方漏洞平台乌云网也曾曝出“12306某接口CDN问题导致用户信息泄露”。

近一点，在今年十一国庆假期即将来临之际，也有安全机构曝出，12306网站的账号密码找回机制存在较严重的安全隐患，易被他人盗号，12306网站中记录的大量个人及常用联系人的身份证号、手机号码等敏感信息，均存在泄露的风险。

12306网站从2011年6月投入以来，已有3年半的时间，如果说是网站运营经验和技术水平不成熟，那只能怒其不争。且你要知道，12306的造价不菲，在2013年一年，12306网站的花费就超过5亿元。

但客观来讲，12306是在努力改善服务水平。中国铁路总公司实施了新的火车票管理方案后，从今年12月6日起互联网售票提前日前将由20天延至60天。

并在12月19日，开售腊月28的火车票当天，12306网站经受了流量峰值和交易峰值的考验，访问量(PV值)达297亿达次，发售火车票发售563.9万张，占比59%，均创历年新高。

正因为12306在中国铁路运输中有着无可代替的作用，所以“用户信息安全“是一个亟需解决的问题。如果经过调查，有相关证据证明12306用户信息泄露真是其他网站所为，那么国内互联网公司们的”抢票神器“将被封杀！