13萬多條12306網站用戶資訊遭外泄

　　“世界上最痛苦的事情是，票還沒買到，資訊卻被洩露了。”在北京工作的高樂，每年春節都回哈爾濱老家過年，但購火車票總是讓他發愁。昨天中午，沉浸在搶票戰中的他被一則新聞嚇了一跳：火車票12306購票網站大量資訊遭遇漏洞，大量資訊被洩露。

　　13萬條用戶資訊“裸奔”

　　昨天中午，第三方漏洞報告平臺烏雲發佈一則關於12306網站的漏洞資訊：大量12306用戶數據在網際網路遭瘋傳，包括用戶賬號、明文密碼、身份證、郵箱等。對於這些資訊的洩露途徑，烏雲平臺目前還未獲知。

　　來自烏雲網站的資訊顯示，稍早該漏洞細節已經被通知廠商(即中國鐵道科學研究院)並且等待廠商處理中；稍後，該網站再次披露最新狀態。廠商已經確認，細節僅向廠商公開。

　　一石激起千層浪。這條漏洞消息被曝出後，受到不少網友的關注。“改密碼去！關鍵裏面的身份證資訊咋整？”僅在烏雲漏洞平臺上，就得到近300條關注，大大高出其他漏洞。

　　“這批數據是準確的。”網際網路安全公司知道創宇相關負責人表示，他們在拿到數據後的第一時間裏，就從131653條記錄中隨機抽取了50個賬號，全都可以成功登錄12306網站。

　　一時間，一條“請立刻修改12306登錄密碼，警惕已買車票是否被惡意退票”的警示資訊在微網志、微信等各類社交平台中廣泛流傳。第三方軟體“高鐵管家”還趁機推出“12306洩露賬號查詢”的網頁應用，利用網上洩露的13萬用戶數據，用戶可以輸入資訊後查詢自己是否“中招兒”。

　　此外，由於12306數據洩露的數據還包含手機號、身份證號，除了自己的資訊之外，還會洩露親友的身份資訊，安全專家建議受資訊洩露影響的所有人小心處理可能的詐騙電話和短信。同時，與銀行轉賬匯款有關的業務，務必電話確認身份。

　　原因或為駭客撞庫攻擊

　　“從來沒有一個漏洞資訊傳得這麼快！”金山首席安全專家李鐵軍對記者説，這是近年來網際網路安全圈子裏傳得最快的一個消息，“從烏雲漏洞平臺12點多登出這條消息後，兩個小時裏網際網路安全公司、駭客圈子幾乎都拿到了這批數據。”

　　資訊洩露究竟是如何造成的？知道創宇資訊技術公司表示，初步分析存在三種可能，一種可能是12306被入侵，數據被盜；第二，可能是第三方搶票軟體的離線搶票功能存儲了12306的數據，被駭客入侵後被盜；第三，駭客通過其他已洩露的郵箱數據庫，進行撞庫攻擊，也就是用相同的用戶名密碼去嘗試登錄12306網站。

　　而12306官網隨後發佈的資訊將矛頭隱晦地指向搶票軟體。公告稱，此洩露資訊全部含有用戶的明文密碼，12306數據庫所有用戶密碼均為多次加密的非明文轉換碼，網上洩露的用戶資訊係經其他網站或渠道流出。目前公安機關已經介入調查。建議不要使用第三方搶票軟體或委託第三方網站購票，以防止個人身份資訊外泄。

　　在這條聲明後的幾個小時裏，處在“漩渦”中的搶票軟體們出聲了。

　　360公司安全專家安揚表示，通過對網上公開傳播的超過13萬條12306用戶數據進行調查分析，此事與360沒有任何關係。“公安機關可以根據這些受害用戶資訊進行調查，很快就能挖出洩露數據的源頭。”百度方面也表示，百度安全衛士不存在洩露情況。

　　“撞庫攻擊的可能性比較大。”李鐵軍表示，他們對數據進行分析後發現，這批13萬條數據中的大部分數據的賬戶名、密碼和用戶的郵箱能夠匹配，也就是説這批數據並非用戶為使用12306賬戶單獨設置的賬戶名和密碼，而是將自己現成的郵箱和密碼套用到了12306的賬戶上。“這樣一來，攻擊者往往可以拿著從別處獲得的大量數據來12306網站‘碰運氣’，如果賬戶密碼一致，那自然會被攻破。”

　　不過他同時表示，不能排除搶票軟體採用離線搶票功能的風險性，“離線搶票往往是數據上傳到雲端，存儲起來，這就自然産生洩露風險。”

　　重要賬號單設高強度密碼

　　現在每位網友可能有多個賬號，如果密碼不同，確實難記。李鐵軍建議，消費者可以把自己的上網賬號和密碼進行分類，分成重要賬號和一般賬號，“社交軟體、購物網站、郵箱這類應用頻繁使用，並且會涉及個人重要資訊、網銀、第三方支付等支付內容，應當被列為重要賬號。”

　　李鐵軍表示，這類重要賬號應分別設置一套獨立的高強度賬戶和密碼，相互之間不重復，其他一般賬號則可以在一定程度上互通。“一般來説密碼中同時出現大小寫字母、數字，是安全系數較高的密碼。”

　　在專家之外，一些取密碼的“民間高手們”也各出奇招。在一家都市報工作的嚴小姐説，她所有網站的賬號都不重復，可還都能記得住，“我有一串通用密碼，不過根據不同網站會綴上不同的尾碼，比如淘寶，密碼後面就加上‘tb’。”

　　“我一個月會修改一次密碼，不過改得有一定規律，這樣好記些。”數位達人劉樂説。