12306 再爆資料洩漏，中鐵總局官方闢謠：沒有此事

今日午間，暗網疑似有人兜售12306使用者資料，內含約60萬賬戶資訊和410萬聯絡人資料。晚間，中國鐵路通過社交平臺對此訊息進行了闢謠，宣佈網傳資訊不實。網友：這是第幾次了？

今日午間，暗網有使用者低價兜售12306使用者資料，自稱內含60萬賬戶資訊和410萬聯絡人資料，並給出了表格資料的具體格式：60萬賬戶資訊包括使用者ID-手機號-使用者名稱-明文密碼-姓名-身份證號-郵箱-問題-答案；410萬聯絡人資料包含ID-賬號ID-主賬號姓名-姓名-身份證號，並宣稱兩個檔案均為Excel格式，只需加5美元就可轉成MySQL格式，因為是易複製資源，所以一旦售出概不退款。

為了證明資料的真實性，曝光者還隨貼附送了50條隨機資料，12306截圖和相關聯絡人資料，圖片被曝光在新浪公共圖床，有好奇者隨即對該資料進行了測試，與以往的“撞庫”不同，這次洩漏的資訊非常詳細，經過測試：圖片中顯示的50條資料均為真實資料，這也增加了公眾的恐慌。

筆者隨即通過社交平臺聯絡了該測試者，該測試者表明資料確實為真實資料，已經親自登入驗證，從所提供的欄位來看確實十分像12306的儲存格式，但12306的密碼採用多層加密，除非黑客在“黑”網站的同時也獲得了網站的解密方式，但這概率不高。只能說相關流程和渠道太多，無法知曉這50條使用者資料的來歷。不少網友在社交平臺發表評論懷疑本次資料洩漏與使用搶票軟體有關。

據統計，這也不是12306第一次陷入資料洩漏醜聞。早在2014年12月，“烏雲漏洞”平臺就曾有訊息稱大量12306使用者資料在網際網路上被傳播售賣，包括賬號密碼、身份證號、郵箱等欄位。如果此訊息成立，那麼已知公開傳播的資料涉及使用者數就超過13萬條。今年6月13日，網路也曾傳言，從2016年至2018年3月的3000萬條12306網站資料疑似被洩漏，其中包含“手機號、密碼、支付密碼、姓名、身份證號以及身份驗證答案”等內容。

對於上述事件，多位安全專家及網路安全機構曾給出認定，資料很大可能源於黑客通過其他資料庫“撞庫”整理出來的，即黑客收集其他平臺洩漏的使用者資訊和密碼資訊，生成密碼資料庫，然後在12306網站批量嘗試登入，最終得到一批可以登入的使用者賬號及密碼。

今日晚間，中國鐵路通過社交平臺對此訊息進行了闢謠，宣告如下：

對此，多名網友懷疑此次事件與搶票軟體有關，因為官方闢謠但使用者資料為真這點確實解釋不通。有網友表示，登入搶票軟體時發現自己的身份被軟體自動繫結，新使用者只要第一次登入並繫結手機號後，某些APP會自動獲取該手機號的12306乘車人資訊，之後會在個人中心頁面自動錄入該手機號在12306平臺新增的常用乘車人資訊。目前，某些搶票軟體進行了改進，可直接在個人中心頁面繫結12306賬號。

在最近幾次迴應中，中國鐵路也多次提醒廣大使用者通過官方網站和官方客戶端買票，避免非正常渠道購票帶來的風險。臨近春運，不少使用者會通過搶票軟體進行購票，請儘量確保自己的賬號密碼不與其他平臺重複，設定多種登入驗證方式，比如人證核驗、手機驗證等，並升級最新客戶端以避免此類事件發生。