臨近春運，12306網站又遇上了麻煩。昨日下午，很多網站的彈窗把我們嚇得不輕：火速改密碼！12306現用戶數據泄漏高危漏洞。這條安全警示的信息源來自于第三方漏洞報告平臺烏云。據其發(fā)布的一則漏洞報告稱，大量12306用戶數據在互聯(lián)網遭瘋傳，包括用戶賬號、明文密碼、身份證郵箱等。隨后，12306官網對此回應，網上泄漏的用戶信息系經其他網站或渠道流出，并非12306網站。

　　對此，昨日成都商報記者采訪了多名安全機構專家，初步確認該事件為“撞庫攻擊”導致，12306網站自身漏洞、第三方搶票平臺也可能成為泄漏途徑。

　　12月25日

　　漏洞報告平臺烏云發(fā)布漏洞報告稱，大量12306用戶數據在互聯(lián)網瘋傳

　　瑞星推測

　　泄漏可能路徑有三：

　　第一是12306自身出現問題；

　　其次是第三方搶票軟件或插件出現信息漏洞；

　　最大的可能性是黑客用“撞庫”的方式獲取這部分用戶信息

　　撞庫攻擊

　　簡單來說，就是拿其他地方泄漏的用戶名和密碼來這里試，如果用戶名和密碼都一樣，就撞開了。

　　12306：用戶數據經其他渠道流出

　　據該漏洞作者，名為“追尋的白帽子”披露，這批12306數據先是在網上售賣，目前已變成公開傳播。記者從12306官網獲悉，針對互聯(lián)網上出現“12306網站用戶信息在互聯(lián)網上瘋傳”的報道，經該網站認真核查，此泄露信息全部含有用戶的明文密碼，而該網站數據庫所有用戶密碼均為多次加密的非明文轉換碼，網上泄漏的用戶信息系經其他網站或渠道流出。目前，公安機關已經介入調查。

　　記者了解到，所謂明文密碼，即信息里將清晰顯示用戶的賬戶密碼、姓名、身份證號，那么黑客完全可以操縱你的12306賬號進行買票、退票等操作。正常情況下，注重安全的網站都不會使用明文密碼。

　　據悉，此前12306已多次被曝出漏洞。早在今年1月份，有網友曝料稱，12306訂票網站可以利用假護照、假身份證完成訂票。此后，又曝出利用漏洞選上下鋪的攻略在網上轉發(fā)。今年7月15日，烏云又曝出12306購票軟件存在漏洞，一人可購買一車廂的全部車票。

　　知道創(chuàng)宇：黑客發(fā)動“撞庫攻擊”

　　截至昨日，國內安全機構知道創(chuàng)宇確認12306數據泄漏事件為“撞庫攻擊”。

　　知道創(chuàng)宇技術副總裁余弦告訴成都商報記者，所謂撞庫攻擊，簡單來說，就是拿其他地方泄漏的用戶名和密碼來這里試，如果用戶名和密碼都一樣，就撞開了。知道創(chuàng)宇是目前唯一一家披露了驗證過程和邏輯的安全機構。

　　事件發(fā)生后，知道創(chuàng)宇獲取到了該文中提到的樣本數據，文件共計131653條記錄、文件大小14兆(Mb)。據記者了解，知道創(chuàng)宇安全研究團隊針對該批數據進行了調查，他們隨機抽取了一批賬號均成功登錄12306，證明了該批數據是真實的；隨機聯(lián)系了該批數據中的多個QQ用戶，均反饋沒有使用過搶票軟件且近期沒有購票行為。

　　調查后，知道創(chuàng)宇安全研究團隊獲得如下結論：該批131653條的12306網站用戶數據是真實的。他們通過與已有泄漏信息庫的對比，得出了這次被泄漏信息并非新泄漏，該批數據基本確認為黑客通過“撞庫攻擊”所獲得。

　　瑞星：12306子網站發(fā)現漏洞

　　根據瑞星互聯(lián)網攻防實驗室研究，推測出信息泄漏可能路徑有三：第一是12306自身出現問題；其次是第三方搶票軟件或插件出現信息漏洞；最大的可能性是黑客用“撞庫”的方式獲取這部分用戶信息。

　　專家介紹，第三方平臺為了讓購票更迅捷，運行時可能省去了一些步驟，安全性難以保障。此前，CSDN、攜程、天涯、當當等都曾被黑客攻破，導致用戶信息泄漏。

　　值得一提的是，瑞星高級工程師唐威表示，瑞星在對12306網站安全監(jiān)測時發(fā)現，12306主站下屬包括南方貨物快運服務站、東北貨物快運服務站等6個子網站發(fā)現了Struts2漏洞，利用該漏洞入侵者可以獲取子網站管理員權限，并可以通過惡意代碼控制子網站服務器對主站進行跳板入侵獲取信息。

　　“可以肯定的是漏洞存在，控制子網服務器入侵主網站也是黑客管用手段，理想狀態(tài)下可以通過該漏洞取得用戶信息，但是因權限不允許測試，瑞星也不能確定這是信息泄密的路徑?！?/p>

　　安全提醒：注冊郵箱和網站密碼最好不同

　　針對目前狀況，獵豹移動安全專家則建議用戶，立刻修改12306登錄密碼，盡快修改登錄12306時使用的郵箱密碼，郵箱服務和12306網站服務一定不要使用相同的登錄密碼。由于12306數據泄漏的數據還包含手機號、身份證號，除了自己的信息之外，還會泄漏親友的身份信息。建議受信息泄漏影響的所有人小心處理可能的詐騙電話和短信。同時，與銀行轉賬匯款有關的業(yè)務，務必電話確認身份。

　　此外，據天下無賊-反信息詐騙聯(lián)盟統(tǒng)計，目前90%以上的電信詐騙源頭都是“個人信息泄漏”，詐騙招數五花八門，當遇到公檢法、航班改簽、網購退款、手機積分等短信、電話時千萬當心，絕大多數都是詐騙。