12306官网用户信息遭泄露 公安机关介入调查

昨天上午，第三方漏洞报告平台“乌云网”披露，大量12306网站用户信息遭泄露，已知公开传播的数据库涉及的用户数据超过13万条，泄露信息包括用户账号、明文密码、身份证、邮箱等。12306官网回应称，网泄用户信息经其他网站或其他渠道流出，并提醒旅客不要使用第三方抢票软件购票。随后，百度、猎豹、360等多家第三方购票平台发声称与此次用户信息泄露事件无关。目前，公安机关已介入调查。

■网曝

超13万旅客信息遭外泄

昨天上午，第三方漏洞报告平台“乌云网”发布检测信息称，大量12306用户数据在互联网传播售卖，已知公开传播的数据库涉及用户数超过13万条，包括用户账号、明文密码、身份证、邮箱、信用卡信息、购买记录等。

信息称，泄露途径目前未知，无法确认是12306官方还是第三方抢票平台泄露，漏洞已提交至国家互联网应急中心处理。

“乌云网”合伙人邬迪表示，网站发现漏洞后，召集多名“白帽子”（正面黑客，可识别计算机系统或网络系统中的安全漏洞并公布）对遭泄露的数据库随机选取多组数据在12306官网进行验证，竟均能登录。

记者从相关网站了解到，泄露数据信息的文件标题为《12306邮箱-密码-姓名-身份证-手机（售后群：31109xxxx）.txt》，共计131653条记录、文件约14M。

■回应

123o6官网

泄露信息系其他网站流出

对此，12306官方网站昨天发布公告称，经网站认真核查，此泄露信息全部含有用户的明文密码，并称12306网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站渠道流出。目前，公安机关已介入调查。

12306网站提醒，为保障信息安全，请旅客通过12306官网购票，不要使用第三方抢票软件购票，或委托第三方网站购票，以防止旅客个人身份信息外泄。

同时，12306官网还提醒旅客，部分第三方网站开发的抢票神器中，有捆绑式销售保险功能，请广大旅客注意。

第三方购票平台

多家抢票平台发声“表清白”

昨天，12306网站发表声明后，多家第三方抢票平台纷纷发声“以表清白”。

百度表示，百度安全卫士将抢票功能集成到安全软件的安装包中进行保护，用户信息仅在安装客户端的电脑上，百度没有存储个人信息，不存在泄露情况。

猎豹也表示，此次事件与猎豹移动无关，猎豹移动既不存在保存用户数据行为，也从未推出必须使用明文密码的离线抢票功能。

“360浏览器抢票软件具有业界最严格的安全防护机制，从没有发生数据泄露。”奇虎360安全工程师表示，此次12306数据泄露与抢票软件无关，而是与其自身网站存在漏洞被黑客撞库。360方面通过对涉及此次信息泄露用户进行抽样调查后发现，有用户没有使用过抢票软件或者采用了不同的抢票软件。

此外，UC浏览器、携程网、高铁管家APP等抢票平台也均表示与此次用户信息泄露事件无关。

■探因

疑为黑客“撞库”获取信息

猎豹安全专家李铁军认为，撞库攻击造成12306信息泄露的可能性较大。导致此次12306网站用户数据泄露有可能是以下几种原因：一是12306被入侵，数据被盗；二是第三方抢票软件存储了12306的数据，被黑客入侵后被盗；三是黑客通过其他已泄露的邮箱数据库，进行撞库攻击。

“乌云网”合伙人邬迪也表示，初步推断可能是黑客通过“撞库方式”获得。

何为“撞库”？邬迪介绍，网友在网站注册时，网站会将注册用户的数据保存在一个数据库中。一些黑客会通过相关手段获得并积累多个网站的数据库，然后用积累数据库的信息对某网站进行逐个测试，当撞到积累的信息可进入某网站时，就获得了该网站的注册信息，这就是“撞库”。

■影响

旅客购票信息可能遭篡改

邬迪称，12306官网的用户信息遭到泄露可能造成三方面影响。一，由于网友可能在多网站共用同一个用户名或密码，因此遭泄露信息用户的其它网站账号可能会被盗用，更多个人信息因此被泄露；二，由于遭泄露信息涉及用户的姓名、身份证号、手机号等敏感个人信息，因此会滋生各种不安全因素，比如遭遇网络诈骗、信息诈骗等；三，泄露信息可能遭到黑客利用，旅客购票信息可能会遭到篡改。昨天，记者在微博上发现，已有一些网友吐槽自己订的火车票居然被退掉了。

相关网络安全专家建议，用户应尽快修改12306登录密码；修改登录12306时使用的邮箱密码，邮箱和12306网站不要使用相同的登录密码。同时，切勿使用离线抢票功能。因为离线抢票就是第三方托管服务，必须明文存密码，且没法加密。

对此，铁路部门也提示旅客，一定要通过官网或官方APP购买车票，避免不必要的损失。

■链接

12306官网多次被曝存漏洞

◎2014年7月17日，“乌云网”曝光12306购票软件存漏洞，正常一部手机同一时间只能有一个账号登录来购票，票贩子利用漏洞可使用一台电脑模拟多部手机多账号链接12306的售票系统，一人就可无限买一车厢的票。

◎2014年7月，网友称利用12306官网漏洞购票可选上下铺，该漏洞随后被修复。

◎2014年1月2日，网友称可用假护照、假身份证随意订票。用身份证生成器做假身份证号，用号码可在12306网站上订票。12306工作人员称，因网站未与公安系统联网，故无法辨别身份证真伪。

◎2013年12月6日，新版中国铁路客户服务中心12306网站上线，仅几个小时后被“乌云网”指出存在漏洞，可能导致用户信息泄露。

京华时报记者常鑫韩旭廖丰

(责编：王化云)