提前60天買票變囤票 長途票多過短途票受質疑 13萬條12306用戶數據又遭洩露

　　編者按

　　昨日，國內最大的漏洞報告平臺烏雲官網爆出，大約13萬條12306用戶數據在網際網路上被洩露並瘋傳。這意味著駭客完全可以利用用戶12306賬號進行買票、退票等操作。

　　記者隨後採訪多家安全公司獲悉，這次洩露的13萬條記錄，極可能是駭客通過其他數據庫撞庫整理出來的，後續還將産生更大的危害。

　　事實上，春運搶票大戰滋生的問題不止這一個。今年春運火車票預售期改為60天，買票難並未緩解，“囤票黨”應運而生，一時間退票的比買票的還多。

　　此外，不少人吐槽12306網站購票堪比“雙11”秒殺，一開搶便秒光；同一條線路車次中，長途火車票不時有餘票放出，而短途車票卻一票難求。有業內人士指出，這與鐵路部門“區間限售”政策有關。然而，限售政策真的合理嗎？

　　廣州日報訊 昨日，國內最大的漏洞報告平臺烏雲官網爆出，大約13萬條12306用戶數據在網際網路上被洩露並瘋傳，包括用戶賬號、明文密碼、身份證郵箱等資訊。這意味著駭客完全可以利用用戶12306賬號進行買票、退票等操作。

　　與多家網站數據洩露有關

　　多網站用同一密碼存隱患

　　昨日，記者隨機抽取了十多個賬號進行試驗，均成功登錄了12306，證明了該批數據是準確的。

　　瑞星公司人士説，本次洩露事件，很可能與網民使用的搶票軟體或購票網站安全性有關，問題的具體原因還在進一步核實中。

　　而獵豹公司人士説，正常情況下，注重安全的網站都不會使用明文密碼。因此，有關專家懷疑這次洩露的13萬條記錄，極可能是駭客通過其他數據庫撞庫整理出來的。

　　到底駭客是如何“撞庫”整理出來的呢？知道創宇一位人士説，通過搜索以往網際網路上的數據進行匹配，從17173.com、7k7k.com、uuu9.com等網站洩露流傳的數據中搜索到了該批13.15萬條用戶數據，基本可以確認該批數據全部是通過撞庫獲得。“這説明用戶在多個網站使用同一密碼的情況很普遍。”該人士説。

　　搶票軟體安全性眾説紛紜

　　此次數據洩露跟搶票軟體有沒有關係？ 目前，各大瀏覽器見縫插針地推出了網上搶票版，市面上的搶票軟體已有十幾款之多。中國鐵道科學研究院電子計算技術研究所副所長朱建生對媒體説：從保護個人資訊安全的角度，建議不要使用第三方軟體，因為將賬戶和密碼交給第三方，安全是未知數。

　　騰訊一位人士則説，搶票軟體安全性還是有保障的，比如在賬號保護和支付環節搭載安全防護體系，安全性可能就比較強。

　　而獵豹瀏覽器相關産品負責人説，這需要區別對待，線上搶票軟體“不存在安全隱患”，因為只是模擬用戶在12306的操作，登錄和下訂單等內容都是直接通過12306的https請求操作的，沒有存儲用戶資訊。

　　他説，但像離線搶票因為需要在插件商的伺服器存儲賬號密碼等相關資訊，可能會有安全隱患。

　　後續或還將産生更大危害

　　據瑞星安全專家介紹，此次洩露的用戶資訊約有13萬條，但很可能只是冰山一角，近期不排除有成百上千萬的用戶資訊還將遭受洩露或黑市買賣。由於被洩露的資訊真實率極高，而且大量用戶使用手機號、QQ郵箱當做用戶名，因此，除購票網站資訊被洩露以外，後續還將産生更大的危害，例如：QQ、微信、郵箱等關鍵網路服務被盜，從而給網民帶來嚴重的經濟損失。

　　焦點關注：

　　新“玩法”下春運你搶到票了嗎？

　　問題1

　　預售提前催生囤票：退票的比買票的還多

　　儘管節前購票高峰已結束，但昨日上午，廣州火車站售票廳的三個退票窗口前還是早早排起了長隊，這些人幾乎都是在買到了滿意的車票之後，趕在15天免費退票期之前來退掉多餘的“囤票”。

　　在今年“火車票預售期提前60天”及“提前15天退票不收取退票費”新規下，囤票現象並非個案。王女士稱，因無法確定單位的放假時間，只好囤下幾張不同時間的車票備著以防萬一，在接到準確放假通知後，她便前來退票。

　　此前還有報道稱，上海一對夫妻為搶兩張回哈爾濱的車票，一共囤了21張車票。一直沒買到票的張先生表示，“這些人佔用這麼多票，那我們沒買到票的人怎麼辦？”囤了一張站票的白領小周則説，“現在提前60天就為買票寢食難安，嚴重影響年底工作。”

　　鐵路部門工作人員表示，囤票這種購票方式影響了他人購票，但目前卻還沒有辦法進行約束。有業內人士指出，“在運力增加有限的情況下，預售期拉長到60天無濟於事，以往買不到票的依然買不到票，只不過把搶票的時間提前了。唯一的好處就是每天刷刷撿別人退票的機會多一些，但這樣會耽誤更多時間和精力。”

　　問題2

　　提前15天退票免費：“黃牛”趁機興風作浪

　　由於囤票問題嚴重，有不少人開始質疑，“12306網站為何不限制每張身份證只能購買一張火車票？”對此，相關部門表示，對不同天同一車次或同一天不同車次，使用同一身份證號訂票是沒有問題的，部分旅客囤積多張火車票的做法並不違反火車票實名制規則。

　　廣州日報記者昨日在廣州火車站發現，退票窗口的排隊人群周圍，總有不少形跡可疑的男女悄悄上前與排隊退票者交談。一名被搭話的退票者稱，“他們是黃牛，想要我的退票。我説：‘我怎麼能保證我退的票他們就能買到呢？’那個人只説他會跟我一起到窗口去，其他的他自有辦法。”

　　“雖然一張身份證只能買一張票，但‘黃牛’總有辦法倒賣車票。”一業內人士稱，“提前15天退票免收手續費，這大大增加了黃牛作案的機會。”他認為，關鍵問題還是要加大力度打擊倒票行為。

　　問題3

　　區間限售不透明：搶票堪比“雙11”秒殺

　　在廣州打工的張阿姨想搶一張能在除夕前回老家湖南嶽陽的高鐵票。可從12月19日到12月22日，連續三天都出現一開搶便一秒售完的情況。幫忙搶票的李小姐表示，“比雙11的秒殺還難！”

　　此後李小姐意外發現，“下午G68廣州南到岳陽一直顯示無票，但到晚上就突然有了很多G68到石家莊的車票，於是只好買了一張到石家莊的二等座讓阿姨中途到岳陽下車。”記者發現，G68廣州到石家莊的二等座車票比到岳陽貴了412元。

　　對此，有內部人士稱，上述情況與區間限售政策有關，一開搶便“秒光”，很大一部分原因是該車次在限售區間內沒有放票或極少放票。上述人士舉例稱，“假如從A地為始發站，B地為終點站，那麼前往中途C地的火車票便極有可能被限售。”但石家莊也並非G68終點站。

　　不少網民猜測，鐵路部門“棄短護長”或許是鐵路公司用以牟利的手段。“都去買長途票，他們就多賺錢。”對此，有業內人士表示，關鍵是做到合理限售，“應首先在技術上得出在哪些路段限售，按什麼比例限售，這些都要有精確統計。”

　　12306官方：

　　“針對網際網路上出現“12306網站用戶資訊在網際網路上瘋傳”的報道，經12306網站認真核查，此洩露資訊全部含有用戶的明文密碼。而12306網站數據庫所有用戶密碼均為多次加密的非明文轉換碼，網上洩露的用戶資訊係經其他網站或渠道流出。目前，公安機關已經介入調查。

　　為保障廣大用戶的資訊安全，請旅客通過12306官方網站或官方手機客戶端購票，不要使用第三方搶票軟體購票，或委託第三方網站購票，以防止您的個人身份資訊外泄。”

　　360瀏覽器搶票軟體：

　　“360瀏覽器搶票軟體具有業界最嚴格的安全防護機制，從沒有發生數據洩露情況。通過對網上公開傳播的超過13萬條12306用戶數據進行調查分析，此事與360沒有任何關係。公安機關可以根據這些受害用戶資訊進行調查，很快就能挖出洩露數據的源頭。”

　　　　補救措施

　　公信手機衛士工程師、安全專家王佔濤提示説，在烏雲的漏洞等級裏，10就是很高的了；目前還不知道具體原因出在哪，建議馬上改掉12306的密碼，各常用網站間的註冊密碼最好不要一樣。然後，告訴12306上有資料的親戚朋友：在最近半年內，不要相信類似任何“我是小王的朋友、警官、醫生、學校老師……”的電話、短信，如果遇到緊急事態，一定要當面確認，才能從事匯款、ATM操作等高危動作。