12306网站回应“13万用户数据泄露”

　　新京报讯 （记者林野 左燕燕）昨天上午10点59分，有网友在“乌云-漏洞报告平台”发表一篇帖子称，大量12306用户数据在互联网传播售卖。根据该平台披露的信息，目前已知公开传播的数据涉及用户数为131653条，尚不清楚是否有更多用户数据被泄露。12306网站昨日对此回应称，网上泄露的用户信息系经其他网站或渠道流出。

　　泄露信息包括用户的明文密码、身份证号码、电子邮箱、手机号码等。数据只是在传播售卖，目前无法确认用户信息是由12306官方还是第三方抢票平台泄露。

　　针对网上出现“12306网站用户信息在互联网上风传”的消息，昨天12306网站回应称，经核查，此泄露信息全部含有用户的明文密码，12306网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。12306称已报警，警方已介入调查。

　　12306网站公告还提醒乘客，通过12306官方网站购票，不要使用第三方抢票软件购票，或委托第三方网站购票，以防止个人身份信息外泄。同时，还提醒称，部分第三方网站开发的抢票神器中，有捆绑式销售保险功能，请乘客注意。

　　■ 追问

　　用户数据如何被泄露？

　　专家称可能密码早已泄露，通过“撞库攻击”整理

　　有关专家分析认为，正常情况下，注重安全的网站都不会使用明文密码。因此，这次泄露的13万个记录，极有可能是黑客通过其他数据库“撞库”整理出来的。

　　360安全专家安扬也认为，12306的用户信息是被“撞库”泄漏的，“撞库”是指用黑客通过收集网络上已泄露的用户名及密码信息，生成庞大的密码库，然后到12306等网站尝试批量登录，得到一批可以登录的用户账号及密码。一些网络安全公司昨天也发布声明，并确认12306数据泄露事件为“撞库攻击”。

　　谁是“泄密者”？

　　专家称基本确认由黑客获取，“12306网站账号安全体系存缺陷”

　　12306在官方声明中称，网上泄露的用户信息系经其他网站或渠道流出，并提醒用户不要使用第三方抢票软件购票。

　　安扬表示，根据安全研究人员分析，发现几乎所有13万条账号密码与之前一些游戏网站“泄密门”传出的账号密码完全匹配，基本可以确认该批数据是黑客通过撞库获得的。据悉这些信息可能在黑客之间“买卖”。12306网站被撞库，说明其账号安全体系存在缺陷，才会被黑客利用自动化程序尝试登录撞库。

　　如何规避密码泄露风险？

　　赶紧换密码，不同网站用不同密码并定期修改

　　能实现“撞库攻击”是因为很多用户在不同网站使用的是相同的账号密码，因此黑客能通过获取用户在A网站的账户从而尝试登录B网址。

　　12306的信息泄露有可能衍生风险，如邮箱被“撞库”(用12306的用户名密码去尝试登录邮箱)，造成更多个人信息被盗;因手机号身份证号行程的泄露，遭遇电信欺诈等，甚至可能遭遇已订火车票被恶意退票的情况。

　　360安全专家安扬提醒12306用户注意修改密码。如有其他重要账号使用了相同的注册邮箱和密码，应一并修改。

　　安扬称，公安机关只要根据这十余万条数据相关用户进行调查，很快就能挖出泄露数据的源头。本次事件也再次为互联网上的信息安全敲响了警钟，安扬提醒用户常用邮箱、网上支付等重要账号一定要单独设置高强度密码，并定期对密码进行修改。 新京报记者 林野 刘夏

　　■ 记者体验

　　抢票软件存在“默认购保险”情况

　　新京报讯 （记者左燕燕）昨日，12306官方网站回复用户数据大量泄露时表示，“部分第三方网站开发的抢票神器中，有捆绑式销售保险功能。”记者发现在手机客户端抢票软件中，存在默认绑定支付20元意外险的情况。

　　记者通过搜索引擎查询“抢票软件”，网友“评价较高”的抢票软件中，如“360抢票王”、“百度抢票软件”、“搜狐抢票软件”等，均为免费的浏览器插件类抢票软件。

　　记者使用360浏览器，下载抢票小插件，点击即可迅速完成安装。点击“车票预订”开始预订车票，选择出发地、目的地，以及出发日期和时间，点击绿色按钮“开始刷票”。同时，浏览器插件类抢票软件也可以在手机上使用。

　　显示刷票成功后，都需要填写12306官网上的个人账户和密码，进入网站后进行支付。应付金额与票面价格相同，没有销售保险的内容。

　　记者此后通过手机抢票软件买票。在安卓手机软件中，抢票软件类客户端种类较多，通过百度手机助手查询，显示“火车票抢票”、“超级火车票”“火车票抢票软件”等近30条客户端信息。

　　记者随机下载一款名为“超级火车票”的手机抢票软件客户端，进入主界面，选择1月1日“北京——保定”的火车票查询，页面显示当日的车次信息，硬座票价为23.5元。填写完个人信息，点击进入支付界面，应付金额则显示为43.5元，比票面价格高了20元。

　　“支付金额怎么多了20元？”记者返回到预订车票界面，在乘客信息下方，发现“购交通意外险20元”的默认选项。点击进入内界面，显示“购交通意外险，20元报50万，订单急速处理，享受人工退票、改签服务。”也可勾选“不购保险”，提示“不提供人工退票、改签服务”。

　　而同类手机抢票软件客户端，如“12306抢票助手”，同样在支付信息里默认有“购交通意外险20元”的信息，且页面广告掺杂，甚至有低俗广告信息。

　　律师李瑞丽在接受媒体采访时表示，“抢票软件系统设置的‘取消购买’选项比较隐蔽，违反了《消费者权益保护法》。消费者对所购买的产品具有知情权和自主选择权，抢票软件以这种模糊的选择方式，搭售保险，涉嫌欺诈。”

　　使用这些网站的你有风险吗？

　　多家第三方网站回应泄密

　　百度

　　百度卫士抢票宝相关负责人表示，百度卫士抢票宝本身就是一款安全软件，用户的关键数据都是保存在本地，也就是用户的电脑中，并不具备云同步功能，因此并不会出现用户12306账号、密码、身份证号码等敏感信息收集和泄露的问题。

　　携程

　　此事与携程没有任何关系，携程火车票的用户账号、密码等相关数据是安全的，在传输和保存始终处于加密状态，任何未经授权的人员都无法取得这些资料。

　　360

　　关于12306信息泄露，360回应称，360浏览器抢票软件具有业界最严格的安全防护机制，从未发生数据泄露情况。通过对网上公开传播的超13万条12306用户数据进行调查分析，此事与360没有任何关系。公安机关能根据这些受害用户信息进行调查，很快就能挖出泄露数据的源头。

　　腾讯

　　腾讯手机管家安全专家提醒，用户最好通过12306官方站点购买车票，同时建议广大12306用户务必尽快修改12306网站密码，其他网站、网银、第三方支付软件等利用与12306注册邮箱、密码一致的也应立即修改。更需要提醒的是，这些数据有可能被犯罪分子用作精准诈骗，近期应谨防诈骗短信、诈骗电话等。

　　搜狗

　　针对12306数据泄露，搜狗浏览器官方微博声明称：1、建议用户尽快修改12306账户的密码，以防范重要的个人信息被泄露，造成不必要的损失；2、请及时查询已购的车票是否被恶意退票，以保证返乡行程的一路平安。

　　新京报记者 刘夏 林其玲