12306大量使用者資料洩露

　　12月25日，國內漏洞報告平臺烏雲官網爆出，大量12306使用者資料在網際網路瘋傳包括使用者帳號、明文密碼、身份證郵箱等資訊。

　　關於此次12306使用者資料洩露事件，國內某安全研究團隊方面驗證了該訊息的準確性，並獲取到了該文中提到的樣本資料，檔案標題為《12306 郵箱-密碼-姓名-身份證-手機(售後群：31109xxxx).txt》，共計131653條記錄、檔案大小14M。隨機抽取了一批帳號(約50個)均成功登陸12306，證明了該批資料是準確的，對於裡面出現的明文使用者密碼，該團隊初步推測是利用現有使用者資料進行“撞庫”。

　　針對使用者資訊洩露一事，12306官方網站隨後釋出公告稱，經過調查，此次洩露資訊全部含有使用者的明文密碼，並稱12306網站資料庫所有使用者密碼均為多次加密的非明文轉換碼，同時暗示使用者的明文密碼為第三方搶票軟體洩漏。

　　此前，12306已多次被曝出漏洞。早在今年1月份，有網友爆料稱，12306訂票網站可以利用假護照、假身份證完成訂票。之後利用12306漏洞購票選上下鋪的攻略在網上轉發。今年7月15日，烏雲又曝出12306購票軟體存在漏洞，一人可購買一車廂票。

　　除了12306網站自身漏洞，近年來大量出現的第三方搶票平臺也成為使用者資料洩露的可能途徑。專家介紹，第三方平臺為了讓購票更迅捷，執行時可能省去了一些步驟。而這些軟體大多未經安全檢測，安全性難以保障，使用者應儘量使用官網購票，避免使用第三方購票途徑。

　　目前，公安機關已經介入調查。

　　微評：我覺得，12306網站的使用者資料洩露，有可能是12306自身網站漏洞引來拖庫，導致使用者帳號、身份證、郵箱等資訊洩漏，然後別人利用帳號郵箱對比CSDN、天涯進行撞庫，得出明文密碼。搶票軟體洩漏使用者資料的可能性較小，因為搶票軟體通常不會儲存使用者身份證等資訊。

 

　　後續報導：12月26日訊息，中國鐵路官方微博26日釋出訊息稱，鐵路公安已經迅速抓捕12306洩密事件嫌疑人，目前，案件正在審理中。以下是官方公告全文：

　　鐵路公安機關迅速抓獲竊取他人電子資訊的犯罪嫌疑人

　　鐵路公安機關於2014年12月25日晚，將涉嫌竊取並洩露他人電子資訊的犯罪嫌疑人抓獲。經查，嫌疑人蔣某某、施某某通過收集網際網路某遊戲網站以及其他多個網站洩露的使用者名稱加密資訊，嘗試登入其他網站進行“撞庫”，非法獲取使用者的其他資訊，並謀取非法利益。

　　鐵路公安機關提醒廣大旅客，為了保護您的各人電子資訊保安，在設定12306網站登入密碼時不要使用在其他網站相同的密碼，並且不要通過第三方網站購票。

　　目前，案件正在審理中。