近日發生的用戶資訊洩露事件，已不是12306網站第一次發生類似事件了，但卻是最大的一次。近日，12306網站發佈公告稱，經認真核查，此次洩露的資訊全部含有用戶的明文密碼。12306網站數據庫所有用戶密碼均為多次加密的非明文轉換碼，網上洩露的用戶資訊係經其他網站或渠道流出。目前，相關犯罪嫌疑人已經被公安機關控制。

　　洩露原因何在？

　　烏雲網創始人鄔迪告訴記者，12月25日10時59分，在事件發生後，烏雲網立刻進行了核查，在確認該消息的真實可靠性後對此事進行了發佈。

　　不久後12306就在第一時間知道了此消息，並與烏雲網取得聯繫，表示會認真調查此事，並在日後發佈公告。

　　14時15分，烏雲網通過新浪微網志發佈消息稱，數據疑似駭客撞庫後整理得到，而並非12306直接泄漏，請用戶及時修改密碼，同時慎用搶票工具。

　　針對此次洩露事件的原因，360網際網路安全中心的安全研究人員在非常肯定地以書面方式回答採訪函時表示，“此次12306網站資訊洩露是被駭客撞庫造成的”。

　　其理由是，經過他們的安全研究人員調查發現：第一，幾乎所有13萬條12306賬號密碼，都可以在此前多家遊戲網站洩露的密碼庫中匹配到相應的記錄。這説明駭客用多家遊戲網站的密碼庫對12306發動“撞庫”攻擊，篩選出13萬餘條使用相同賬號密碼的用戶數據。第二，通過對12306洩露數據中的相關用戶進行抽樣調查，超過半數沒有使用任何搶票軟體，其餘則是使用不同的搶票軟體。

　　目前，除撞庫外，拖庫、洗庫亦成為一個非常成熟的形成利益過程。

　　網際網路黑市裏的産業鏈

　　鄔迪稱，所謂“撞庫”就是駭客通過收集網路上已洩露的用戶名及密碼資訊，生成對應的“字典表”，到其他網站嘗試批量登錄，得到一批可以登錄的用戶賬號及密碼。

　　登錄用戶的後臺後，可能存在郵箱、手機號碼、身份證號碼被洩露以及賬務積分和賬戶餘額流失等多種風險。

　　“如果用戶及時修改原始密碼就可以規避撞庫風險。”鄔迪説，“但這並不等於自己的資訊就完全安全了”。

　　鄔迪告訴記者，除了撞庫外，還有另一種方式叫做“拖庫”。駭客通過技術手段直接下載某平臺的全部數據庫。“但本次12306洩露可以排除拖庫的可能性”。

　　在業內人士看來，“拖庫”是指入侵有價值的網路站點，把數據庫全部盜走的行為。盜取數據後，駭客會通過一系列的技術手段清洗數據，並在黑市上將有價值的用戶數據變現交易，此為“洗庫”。最後，駭客將得到的數據在其他網站上進行嘗試登錄，叫做“撞庫”。

　　浪潮電子資訊安全事業部副總經理蔡一兵表示：“在網際網路的黑市裏有一個非常成熟的産業鏈，有一個非常成熟的形成利益過程：即拖庫、洗庫和撞庫。”

　　為什麼會有這麼大的漏洞？

　　不過，鄔迪稱：“此事目前還無法下定論。”

　　12306網站在發佈上述提示公告時，還特別提醒旅客不要使用第三方搶票軟體購票。這使得外界懷疑，此次洩露事件由第三方搶票軟體而起。一位長期研究刷票軟體的人員告訴記者，目前搶票軟體發展速度極快，但並不存在十分清晰的盈利模式，因此從第三方軟體中洩露數據的可能性依然存在。

　　不過，讓網際網路安全專家更關心的是，如果真是撞庫造成的洩露，12306網站為什麼會留下這麼大的漏洞？

　　“如果這次撞庫發生在Google、微軟身上，不可能成功。因為成熟的網站都會在登錄伺服器時設置二次驗證程式。國內很多網站為了節省成本，並沒有設置這一道程式。” 獵豹移動安全專家李鐵軍表示。但是，目前並不清楚，此次漏洞是否與驗證程式設置有關。

　　一位對烏雲網比較了解的專業人士稱，12306網站從2012年2月開始，在烏雲網上被披露的漏洞接近50個，其中涉及用戶資料泄漏和敏感資訊洩露的漏洞佔7%，而還有44%的漏洞可間接導致資訊泄漏，例如命令執行漏洞和SQL注射漏洞。

　　360安全專家安揚也認為，12306網站被撞庫，説明12306賬號安全體系仍需要進一步完善，以便及時發現並阻斷駭客撞庫攻擊。

　　侵權責任如何劃分？

　　2012年12月28日，全國人大常委會通過《關於加強網路資訊保護的決定》後，網路個人資訊保護有了法律依據。今年3月15日施行的新《消費者權益保護法》也增加了保護消費者個人資訊的規定。

　　最新的司法依據是10月9日由最高法院公佈的《關於審理利用資訊網路侵害人身權益民事糾紛案件適用法律若干問題的規定》，其中首次列舉了個人隱私的範圍。

　　“洩露個人資訊者一定要承擔相應的侵權責任，問題是誰來承擔。”中國政法大學傳播研究中心研究員朱巍告訴記者。

　　“如果是12306洩露，要區分為故意洩露還是過失洩露，故意洩露毫無疑問要承擔侵權責任。”朱巍説，“在國外，故意洩露還可以區分為出於商業目的還是非商業目的，如果是商業目的要加大處分力度，但國內司法沒有這樣的區分。”

　　如果12306是出於過失導致資訊洩露，司法實踐中會採用過錯推定原則確定侵權責任，“即先推定12306存在過錯，然後由12306舉證，證明自己盡到了安保責任。”朱巍説。

　　朱巍認為，如果存在12306作為開放平臺，通過開放端口與第三方平臺進行授權合作的情況，即使資訊是經第三方洩露，12306也應承擔連帶責任。