聖誕節“烏雲”：漏洞平台曝12306信息泄露兩嫌犯被捕

2014-12-26

12月25日上午，不少人剛剛從聖誕禮物的驚喜中緩過神兒來，就迎來一個不小的驚嚇。烏雲網發佈漏洞報告稱，大量12306用户數據在網絡上瘋狂傳播。據瞭解，這次泄露事件被泄露的數據達131653條，包括用户賬號、明文密碼、身份證和郵箱等多種信息。烏雲網是一家專注於互聯網安全漏洞報告的平台，這堪稱其歷史上最大的一次鐵路用户數據泄露。

“我有多想回家，恨你就有多深”，歸鄉心切但又搶不到票的網友早已把情緒一股腦傾瀉在12306上，用户信息泄露更是一次火上澆油。有網友表示自己好像在裸奔。東方網刊登署名王凱的文章更稱，“12306不能把信息泄漏責任一推了之”，並加上編輯點評：“一件事要麼不做，要做就做好。”

隨着兩名嫌犯昨晚被捕，這起疑竇叢生又鬧得沸沸揚揚的事件終於有了眉目。經查，始作俑者是嫌疑人蔣某某、施某某，他們通過收集某遊戲網站以及其他多個網站泄露的用户名加密碼信息，嘗試登陸其他網站進行“撞庫”。

被泄露的部分用户數據

破案之前，先來分析一下罪犯的動機。黑客竊取信息後如何操作？如果黑客是黃牛黨，操縱旅客的12306賬號刷到票，就會建議買家用自己身份證親自購買同車次短程票。順利上車後，再使用黃牛黨所售的車票，因為有時上車可能不會檢查身份證。一名鐵路系統專家告訴觀察者網，這顯然可以在取票、查票環節加以封堵，讓黃牛不能取到他人的票，取到票也賣不出去。自26日起，12306已開始實施多項新措施，打擊冒用身份購票，包括取消售賣行程衝突的車票。

不過，在互聯網的黑市裏有一個非常成熟的利益產業鏈：拖庫、洗庫和撞庫。“拖庫”是指入侵有價值的網絡站點，把數據庫全部盜走的行為。盜取數據後，黑客會通過一系列的技術手段清洗數據，並在黑市上將有價值的用户數據變現交易，此為“洗庫”。最後黑客將得到的數據在其它網站上進行嘗試登陸，也就是前面説的“撞庫”。

目前在互聯網上公開流傳的用户數據很多，僅2012年CSDN、天涯的泄露數據就超過2億條，今年還出現了攜程、如家、噹噹的泄露事件。如果黑客拿用户的12306數據在別的網站也能“撞開”，那麼用户的風險就不僅僅是被冒用身份無法正常購票了。

所幸，12306泄露事件發生至今，尚未曝出泄露的個人信息中包括用户購票的銀行卡信息。但儘快修改登錄12306時所使用郵箱的密碼無疑是明智的防範之舉，郵箱密碼和登錄密碼切不要相同。

初步調查結論是黑客從其他網站拖來數據，其中部分因為用户沒有更換不同賬號密碼，給了黑客可乘之機，撞開了12306。這麼説12306沒有被入侵。

12306到底有沒有漏洞？中國鐵路客户服務中心表態，此次泄密事件與12306網站無關，因該網站認真核查，此泄露信息全部含有用户的明文密碼。但12306網站數據庫所有用户密碼均為多次加密的非明文轉換碼。

這就是説，泄露信息中用户的賬户密碼、姓名、身份證號一目瞭然。而12306敢於拍胸脯保證，網站保存的信息是多次加密的非明文轉換碼，未破譯前就是一堆亂碼天書，黑客就算拿得到，想讀得懂也沒那麼容易，泄漏的可能性極低。

鐵路客户服務中心不忘提醒旅客：通過12306官方網站購票，不要使用第三方搶票軟件購票或委託第三方網站購票，以防止個人身份信息外泄。

注重安全的網站一般不會使用明文密碼，所以事發後當矛頭轉向“攜程旅行”、“鐵友火車票”、“火車票達人”、“盛名時刻表”、“去哪兒”等搶票軟件時，他們也紛紛以此為自己辯護。

不過技術可以保障，家賊卻難防。如果網站錯選了無良的軟件開發商，他們還是可以從後台獲取使用者的相關信息，主動倒賣泄露出去。選擇搶票軟件，就等於多了一箇中介，也意味着多了一點風險。就在事發上一週內，國家信息安全漏洞共享平台共收集、整理信息安全漏洞144個。

360互聯網安全中心的研究人員斬釘截鐵地表示：“此次12306網站信息泄露是被黑客撞庫造成的。”這與官方的初步調查結論吻合。

因為調查發現：第一、幾乎所有13萬條12306賬號密碼，都可以在此前多家遊戲網站泄露的密碼庫中匹配到相應的記錄。説明黑客用多家遊戲網站的密碼庫對12306發動“撞庫”攻擊，篩選出13萬餘條使用相同賬號密碼的用户數據。第二，通過對12306泄露數據中的相關用户進行抽樣調查，超過半數沒有使用任何搶票軟件，其餘則是使用不同的搶票軟件。

此前，網絡流傳18G的12306全部數據的消息已被闢謠。

不過法律界人士並不願放過12306的嫌疑，中國政法大學傳播法研究中心研究員朱巍分析稱，如果12306是出於過失導致信息泄露，司法實踐中會採用過錯推定原則確定侵權責任，“即先推定12306存在過錯，然後由12306舉證，證明自己盡到了安保責任”，朱巍還表示，即使12306根本不知情，信息泄露源於不可抗力，也要證明自己盡到了安保義務。

雖然鄔迪表示“此事目前還無法下定論。”而對搶票軟件的責任，專家們也各執一詞，21世紀經濟報道已經提問“12306網站為什麼會留下這麼大的漏洞？”，並援引獵豹移動安全專家李鐵軍的話：“如果這次撞庫發生在Google、微軟身上，不可能成功。因為成熟的網站都會在登陸服務器時設置二次驗證程序。國內很多網站為了節省成本，並沒有設置這一道程序。”但李鐵軍並沒有指出國家級網站12306是不是“不成熟”的網站，只表示目前並不清楚，此次漏洞是否與驗證程序設置有關。

無論如何，公安機關介入調查此事已取得進展，案情終有水落石出的一天，不少網友也圍觀坐等結果。作為唯一的網絡購票渠道，12306必然要扛起全部的重擔，眾目之下，仍任重道遠。