網路流傳的洩露數據顯示用戶的郵箱、明文密碼、姓名、身份證號等私人資訊。

　　昨天上午10點59分，有網友在“烏雲-漏洞報告平臺”發表一篇帖子稱，大量12306用戶數據在網際網路傳播售賣。根據該平臺披露的資訊，目前已知公開傳播的數據涉及用戶數為131653條，尚不清楚是否有更多用戶數據被洩露。12306網站昨日對此回應稱，網上洩露的用戶資訊係經其他網站或渠道流出。

　　洩露資訊包括用戶的明文密碼、身份證號碼、電子郵箱、手機號碼等。數據只是在傳播售賣，目前無法確認用戶資訊是由12306官方還是第三方搶票平臺洩露。

　　針對網上出現“12306網站用戶資訊在網際網路上風傳”的消息，昨天12306網站回應稱，經核查，此洩露資訊全部含有用戶的明文密碼，12306網站數據庫所有用戶密碼均為多次加密的非明文轉換碼，網上洩露的用戶資訊係經其他網站或渠道流出。12306稱已報警，警方已介入調查。

　　12306網站公告還提醒乘客，通過12306官方網站購票，不要使用第三方搶票軟體購票，或委託第三方網站購票，以防止個人身份資訊外泄。同時，還提醒稱，部分第三方網站開發的搶票神器中，有捆綁式銷售保險功能，請乘客注意。

　　■ 追問

　　用戶數據如何被洩露？

　　專家稱可能密碼早已洩露，通過“撞庫攻擊”整理

　　有關專家分析認為，正常情況下，注重安全的網站都不會使用明文密碼。因此，這次洩露的13萬個記錄，極有可能是駭客通過其他數據庫“撞庫”整理出來的。

　　360安全專家安揚也認為，12306的用戶資訊是被“撞庫”泄漏的，“撞庫”是指用駭客通過收集網路上已洩露的用戶名及密碼資訊，生成龐大的密碼庫，然後到12306等網站嘗試批量登錄，得到一批可以登錄的用戶賬號及密碼。一些網路安全公司昨天也發佈聲明，並確認12306數據洩露事件為“撞庫攻擊”。

　　誰是“泄密者”？

　　專家稱基本確認由駭客獲取，“12306網站賬號安全體系存缺陷”

　　12306在官方聲明中稱，網上洩露的用戶資訊係經其他網站或渠道流出，並提醒用戶不要使用第三方搶票軟體購票。

　　安揚表示，根據安全研究人員分析，發現幾乎所有13萬條賬號密碼與之前一些遊戲網站“泄密門”傳出的賬號密碼完全匹配，基本可以確認該批數據是駭客通過撞庫獲得的。據悉這些資訊可能在駭客之間“買賣”。12306網站被撞庫，説明其賬號安全體系存在缺陷，才會被駭客利用自動化程式嘗試登錄撞庫。

　　如何規避密碼洩露風險？

　　趕緊換密碼，不同網站用不同密碼並定期修改

　　能實現“撞庫攻擊”是因為很多用戶在不同網站使用的是相同的賬號密碼，因此駭客能通過獲取用戶在A網站的賬戶從而嘗試登錄B網址。

　　12306的資訊洩露有可能衍生風險，如郵箱被“撞庫”(用12306的用戶名密碼去嘗試登錄郵箱)，造成更多個人資訊被盜;因手機號身份證號行程的洩露，遭遇電信欺詐等，甚至可能遭遇已訂火車票被惡意退票的情況。

　　360安全專家安揚提醒12306用戶注意修改密碼。如有其他重要賬號使用了相同的註冊郵箱和密碼，應一併修改。

　　安揚稱，公安機關只要根據這十余萬條數據相關用戶進行調查，很快就能挖出洩露數據的源頭。本次事件也再次為網際網路上的資訊安全敲響了警鐘，安揚提醒用戶常用郵箱、網上支付等重要賬號一定要單獨設置高強度密碼，並定期對密碼進行修改。 新京報記者 林野 劉夏

　　■ 記者體驗

　　搶票軟體存在“默認購保險”情況

　　昨日，12306官方網站回復用戶數據大量洩露時表示，“部分第三方網站開發的搶票神器中，有捆綁式銷售保險功能。”記者發現在手機客戶端搶票軟體中，存在默認綁定支付20元意外險的情況。

　　記者通過搜索引擎查詢“搶票軟體”，網友“評價較高”的搶票軟體中，如“360搶票王”、“百度搶票軟體”、“搜狐搶票軟體”等，均為免費的瀏覽器插件類搶票軟體。

　　記者使用360瀏覽器，下載搶票小插件，點擊即可迅速完成安裝。點擊“車票預訂”開始預訂車票，選擇出發地、目的地，以及出發日期和時間，點擊綠色按鈕“開始刷票”。同時，瀏覽器插件類搶票軟體也可以在手機上使用。

　　顯示刷票成功後，都需要填寫12306官網上的個人賬戶和密碼，進入網站後進行支付。應付金額與票面價格相同，沒有銷售保險的內容。

　　記者此後通過手機搶票軟體買票。在安卓手機軟體中，搶票軟體類客戶端種類較多，通過百度手機助手查詢，顯示“火車票搶票”、“超級火車票”“火車票搶票軟體”等近30條客戶端資訊。

　　記者隨機下載一款名為“超級火車票”的手機搶票軟體客戶端，進入主界面，選擇1月1日“北京——保定”的火車票查詢，頁面顯示當日的車次資訊，硬座票價為23.5元。填寫完個人資訊，點擊進入支付界面，應付金額則顯示為43.5元，比票面價格高了20元。

　　“支付金額怎麼多了20元？”記者返回到預訂車票界面，在乘客資訊下方，發現“購交通意外險20元”的默認選項。點擊進入內界面，顯示“購交通意外險，20元報50萬，訂單急速處理，享受人工退票、改簽服務。”也可勾選“不購保險”，提示“不提供人工退票、改簽服務”。

　　而同類手機搶票軟體客戶端，如“12306搶票助手”，同樣在支付資訊裏默認有“購交通意外險20元”的資訊，且頁面廣告摻雜，甚至有低俗廣告資訊。

　　律師李瑞麗在接受媒體採訪時表示，“搶票軟體系統設置的‘取消購買’選項比較隱蔽，違反了《消費者權益保護法》。消費者對所購買的産品具有知情權和自主選擇權，搶票軟體以這種模糊的選擇方式，搭售保險，涉嫌欺詐。”

　　使用這些網站的你有風險嗎？

　　多家第三方網站回應泄密

　　百度

　　百度衛士搶票寶相關負責人表示，百度衛士搶票寶本身就是一款安全軟體，用戶的關鍵數據都是保存在本地，也就是用戶的電腦中，並不具備雲同步功能，因此並不會出現用戶12306賬號、密碼、身份證號碼等敏感資訊收集和洩露的問題。

　　攜程

　　此事與攜程沒有任何關係，攜程火車票的用戶賬號、密碼等相關數據是安全的，在傳輸和保存始終處於加密狀態，任何未經授權的人員都無法取得這些資料。

　　360

　　關於12306資訊洩露，360回應稱，360瀏覽器搶票軟體具有業界最嚴格的安全防護機制，從未發生數據洩露情況。通過對網上公開傳播的超13萬條12306用戶數據進行調查分析，此事與360沒有任何關係。公安機關能根據這些受害用戶資訊進行調查，很快就能挖出洩露數據的源頭。

　　騰訊

　　騰訊手機管家安全專家提醒，用戶最好通過12306官方站點購買車票，同時建議廣大12306用戶務必儘快修改12306網站密碼，其他網站、網銀、第三方支付軟體等利用與12306註冊郵箱、密碼一致的也應立即修改。更需要提醒的是，這些數據有可能被犯罪分子用作精準詐騙，近期應謹防詐騙短信、詐騙電話等。

　　搜狗

　　針對12306數據洩露，搜狗瀏覽器官方微網志聲明稱：1、建議用戶儘快修改12306賬戶的密碼，以防範重要的個人資訊被洩露，造成不必要的損失；2、請及時查詢已購的車票是否被惡意退票，以保證返鄉行程的一路平安。