三问12306网站用户数据泄露事件:哪些漏洞待填补

　　身陷数据泄露事件的12306网站，终于开始悬赏征集漏洞。

　　12月25日，这家被广泛用于订购火车票的官方网站，被指流出约13万用户数据。其中包括姓名、身份证号、手机号、用户名、密码等敏感信息。

　　尽管铁路警方调查宣称事件由黑客“撞库”导致，数据并非从12306网站泄露，但12306网站的安全体系仍有完善的空间。

　　谁泄露，泄露了多少用户数据？

　　谁泄露了用户数据？泄露的数据总量有多少？在多位互联网安全人士看来，综合目前消息，极有可能是“撞库”导致数据泄露，且泄露的数据可能不止13万用户。

　　“撞库”是一种黑客攻击方式。黑客会收集在网络上已泄露的用户名、密码等信息，之后用技术手段前往一些网站逐个“试”着登录，最终“撞大运”地“试”出一些可以登录的用户名、密码。

　　显然，“撞库”成功的一个前提是，用户在多家网站注册的用户名、密码都相同。多位互联网安全人士经过分析，均认为此次事件“应该是撞库造成的”，“用户名、密码都没改”。

　　第三方网络安全机构“知道创宇”技术副总裁余弦告诉中国青年报记者，公司研究团队在几家网站2012年、2013年泄露的用户数据中抽取50个作为样本，与此次13万用户数据进行比对，“匹配度有100%”。

　　“猎豹移动”安全专家李铁军也表示，他们将前几年黑客圈流传出的上亿条泄露数据进行比对，“绝大部分都是和以往的库是重合的”。

　　12月26日，中国铁道总公司公开证实了这一点。公司官方微博称，铁路公安机关于12月25日晚将嫌疑人蒋某某、施某某成功抓获，嫌疑人通过手机互联网某游戏网站以及其他多个网站泄漏的用户名加密码信息，尝试登陆其他网站进行“撞库”，非法获取用户的其他信息，并谋取非法利益。

　　不过，李铁军推测，如果用以往那么大的数据量去“撞”12306网站，从理论上来说，泄露的数据或许不止13万条，“怎么着也是百万级别的。可能这13万用户的数据只是在黑色产业链非法交易中的一部分样本”。

　　“这次只是暴露了其中一部分的数据。”北京大学计算机科学技术系教授陈钟认为，“如果没有人揭露出来，公众、媒体可能也不清楚现在这个问题”。

　　与“撞库说”同时出现的，是对“抢票软件泄露数据”的猜测。12月25日，在警方公布抓获黑客之前，12306网站发表声明称数据系经其他网站或渠道流出，并提醒旅客“不要使用第三方抢票软件购票，或委托第三方网站购票”，以防止身份信息外泄。

　　然而，中国青年报记者在泄露的13万用户数据中随机拨打了18人的电话，共10人接受采访，他们均表示自己从未使用过第三方插件购票，有的甚至已将近一年未使用该账号。

　　李铁军分析，一些抢票软件有“离线抢票”的功能，存在一定风险或隐患。软件在电脑关闭之后，依然可以进行抢票，这意味着用户名、密码都交给了第三方。“这样的情况下，就增加了风险，当然，不能说就一定是他们有问题”。

　　他称，正常的抢票软件会遵守12306的规则，但一些小公司甚至黄牛开发的抢票软件“任何可能买到票的手段都会用到”，包括连接速度、破解验证码的速度。

　　他说，目前网上只公开了13万条泄露数据，除了撞库，是否还有其他原因，有待继续分析和警方调查。

　　陈钟认为，抢票软件能够成功抢票，说明系统里一定有正常的、可以使用的交互过程，“这里面可能还有其他方面的博弈，或者说管理上的博弈”。

　　陈钟强调，要以事实为依据，如果系统存在设计或管理缺陷，应该加以解决。

关键词：泄露,12306,火车票,互联网