12306數十萬用戶資料泄露 搶票軟件齊聲否認與之有關

原標題：12306數十萬用戶資料泄露 搶票軟件齊聲否認與之有關

春運搶票已經進入白熱化階段,此時傳來“中國鐵路購票網站12306大量用戶資料外泄”讓外界驚出一身冷汗。

12月25日，漏洞報告平臺烏云平臺某網友稱當前有黑客獲取了12306的所有用戶信息并在一些黑客群體中進行流轉、買賣。烏云方面還稱，數據已在傳播售賣，但目前無法確認是12306官方還是第三方搶票平臺泄露，希望官方立即介入調查并通知已泄密用戶修改密碼。

針對用戶信息泄露，12306官方網站隨后發布公告稱，經過調查，此次泄露信息全部含有用戶的明文密碼，并稱12306網站數據庫所有用戶密碼均為多次加密的非明文轉換碼，網上泄露的用戶信息系經其他網站渠道流出。目前，公安機關已經介入調查。

泄露原因：撞庫可能性大

明文密碼泄露意味著，黑客拿到的數據庫里，會明明白白寫著用戶的名字、身份證號碼，黑客完全可以操縱用戶的12306賬號進行買票、退票等操作。

那么，造成這一次的用戶信息泄露的原因是什么？

獵豹移動安全專家李鐵軍對《第一財經日報》記者分析稱，導致此次12306網站用戶數據泄露有可能是以下幾種原因：一種可能是第三方搶票軟件存儲了12306的數據，被黑客入侵后導致用戶密碼被盜；第二種可能是因為黑客通過其他已泄露的郵箱數據庫，進行撞庫攻擊(就是用相同的用戶名、密碼去嘗試登錄12306網站)。

所謂“撞庫”，是指黑客通過收集網絡上已泄露的用戶名及密碼信息，生成對應的“字典表”，到其他網站嘗試批量登錄，得到一批可以登錄的用戶賬號及密碼。

12月25日，知道創宇安全研究團隊對包括《第一財經日報》等媒體表示，獲取到了該文中提到的樣本數據。知道創宇技術副總裁余弦稱，針對該批數據進行了緊急調查：首先隨機抽取了一批賬號（約50個）均成功登錄12306，證明了該批數據是準確的；然后隨機聯系了該批數據中的多個用戶，均反饋沒有使用過搶票軟件且近期沒有購票行為；此后，安全人員還對以往互聯網上的數據進行了匹配，從17173.com、7k7k.com、uuu9.com等網站泄露流傳的數據中搜索到了該批13.15萬條用戶數據。

經過3個小時的調查，知道創宇安全研究團隊經過仔細分析得出結論：該批12306用戶數據是真實的；該批數據基本確認為黑客通過“撞庫攻擊”所獲得；當前網上并無18G的12306數據的流轉跡象。

“18G的個人用戶數據泄露,只是一個傳說。”一位安全專家對記者表示。

衍生風險

除了撞庫外，另一種說法是，搶票軟件的離線搶票功能或致明文密碼泄露。

今年的互聯網搶票方式出現了離線搶票的功能，用戶需提交12306用戶名和密碼，還有身份證信息和手機聯系方式等隱私信息，一旦這些信息泄露將造成更嚴重的后果。

騰訊手機管家安全專家提醒，用戶最好通過12306官方站點購買車票，“搶票軟件”可能是本次用戶數據泄露的元兇。

但多位安全業內人士表示，目前還沒有明顯證據證明此次用戶信息泄露與搶票軟件有關，不能完全下結論。

奇虎360安全工程師安楊在接受《第一財經日報》記者采訪時表示，目前來看，此次12306數據泄露與搶票軟件無關，而是其自身網站存在漏洞被黑客撞庫。

安楊告訴記者，對涉及此次信息泄露用戶抽樣調查顯示，有用戶沒有使用過搶票軟件或者采用了不同的搶票軟件，而此次泄露的13萬用戶與此前網絡公開流傳過的用戶信息可以匹配。

“12306自身安全性需要提高。”安楊告訴記者，當黑客利用大規模的用戶信息對12306網站“碰撞”嘗試登錄，12306并沒有進行有效屏蔽。

而有搶票功能的獵豹瀏覽器和UC瀏覽器方面也否認與己有關。李鐵軍表示，獵豹搶票插件因不保存用戶數據，因而不會造成用戶數據泄露的問題；同時獵豹也不提供離線搶票功能，因此不存在明文密碼泄露問題；UC方面也強調其搶票功能是直接登錄12306，并沒有存儲用戶信息。

盡管原因還有待查清，但12306數據泄露的衍生風險或將逐步顯現。李鐵軍在接受《第一財經日報》記者采訪時表示，風險一是包括郵箱被撞庫，更多個人信息因此被盜；二是因手機號、身份證號、行程被泄露，騙子可能以退票為借口行騙;三是因12306的數據實際包含親友信息，可能導致事件的影響面極大;四是受害者遭遇惡作劇，預訂的火車票被惡意退票。目前建議網友盡快修改12306登錄密碼。

根據“天下無賊-反信息詐騙聯盟”統計，目前90%以上的電信詐騙源頭都是“個人信息泄露”，直接導致的結果是電信詐騙從撒網式詐騙向精準詐騙升級，再配合網絡改號軟件、偽基站、釣魚網址、木馬病毒等高科技手段，讓電信詐騙更容易得手，單個案件的金額越來越大。

昨日，12306官方發出提醒，希望用戶通過12306官方網站購票，不要使用第三方搶票軟件購票，或委托第三方網站購票，以防止個人身份信息外泄。同時，部分第三方網站開發的搶票神器中有捆綁式銷售保險功能，請用戶注意。