正值春運(yùn)搶票白熱化階段，12306網(wǎng)站用戶數(shù)據(jù)信息發(fā)生大規(guī)模泄漏。事發(fā)后，12306以及第三方搶票軟件雙方各執(zhí)一詞，均認(rèn)為此次用戶信息被泄漏與己方無關(guān)。即便嫌犯迅速落網(wǎng)，但互聯(lián)網(wǎng)信息安全再次敲響警鐘。

泄漏風(fēng)波

在從網(wǎng)上拿到12306網(wǎng)站泄漏的用戶信息之后，李杰第一時(shí)間便查詢了里面是否有他的注冊(cè)ID。

“我拿到的txt文本里，約有13萬用戶信息，查了一下，發(fā)現(xiàn)里面沒有我的，我也就放心了。”李杰告訴新金融記者。

他是一名來自電子書應(yīng)用宜搜公司的程序員。在他拿到的用戶泄漏信息中，用用戶名對(duì)應(yīng)密碼，嘗試了多個(gè)，均顯示登錄成功狀態(tài)。這也就意味著，其可以很簡(jiǎn)單地在該12306用戶不知情的情況下，進(jìn)行買、退票動(dòng)作。

不過這畢竟是一件違背道德，并違背職業(yè)精神的事情。他沒有這么做，只是幫助周圍的朋友查詢他們的信息是否處于泄漏之列。

這就是從12月25日上午開始爆發(fā)的12306官網(wǎng)用戶信息泄露風(fēng)波。當(dāng)天第三方漏洞報(bào)告平臺(tái)烏云網(wǎng)發(fā)布檢測(cè)信息稱，大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)傳播售賣，已知公開傳播的數(shù)據(jù)庫涉及用戶數(shù)超過13萬條，包括用戶賬號(hào)、明文密碼、身份證、郵箱、信用卡信息、購買記錄等。

報(bào)告稱，泄露途徑目前未知，無法確認(rèn)是12306官方還是第三方搶票平臺(tái)泄露，漏洞已提交至國(guó)家互聯(lián)網(wǎng)應(yīng)急中心處理。

新金融記者從相關(guān)網(wǎng)站了解到，泄露數(shù)據(jù)信息的文件標(biāo)題為《12306郵箱-密碼-姓名-身份證-手機(jī).txt》，共計(jì)131653條記錄，文件約14M，這便是李杰所獲得的泄漏信息文本。

發(fā)布12306官網(wǎng)用戶信息泄露信息的烏云網(wǎng)正是一家專注于互聯(lián)網(wǎng)安全漏洞報(bào)告的平臺(tái)。

其“白帽子”(正面黑客，識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但不會(huì)惡意去利用，而是公布其漏洞)成員之一王音此前曾告訴新金融記者，當(dāng)用戶把安全性作為選擇企業(yè)產(chǎn)品的考量之一時(shí)，企業(yè)就會(huì)加大投入，開發(fā)人員就會(huì)有更多的資源和動(dòng)力去處理安全問題，從而營(yíng)造出越來越好的安全生態(tài)。促使這個(gè)生態(tài)形成，就是烏云白帽子團(tuán)隊(duì)要做的事情。

據(jù)了解，在烏云網(wǎng)發(fā)布12306用戶信息泄漏之后不久，12306就知道了此消息，并與烏云網(wǎng)取得聯(lián)系，表示會(huì)認(rèn)真調(diào)查此事，并在日后發(fā)布公告。

事實(shí)上，這并不是12306首次用戶數(shù)據(jù)泄漏。此前烏云網(wǎng)也曾發(fā)布過類似報(bào)告，但泄漏規(guī)模并沒有此次這么大。

多位受訪人士向新金融記者表示了擔(dān)心。由于購票行為與銀行卡支付緊密相連，很多用戶選擇了更改12306登錄密碼，以免遭受損失。

誰的責(zé)任

在泄漏事件發(fā)生一天后，即12月26日上午，12306宣布中國(guó)鐵路總公司官方微博“中國(guó)鐵路”公告，鐵路公安機(jī)關(guān)已經(jīng)將中國(guó)鐵路客戶服務(wù)中心網(wǎng)站(即12306網(wǎng)站)信息泄漏嫌犯抓獲。

“中國(guó)鐵路”稱，2014年12月25日晚間鐵路公安將嫌疑人蔣某某、施某某成功抓獲，嫌疑人通過手機(jī)互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個(gè)網(wǎng)站泄漏的用戶名加密碼信息，嘗試登錄其他網(wǎng)站進(jìn)行“撞庫”，非法獲取用戶的信息，并謀取非法利益。同時(shí)，鐵路方面再次重申，旅客要通過12306官方網(wǎng)站購票，不要使用第三方搶票軟件或委托第三方網(wǎng)站購票，防止個(gè)人身份信息外泄。

據(jù)了解，所謂“撞庫”是指黑客通過收集網(wǎng)絡(luò)上已泄露的用戶名及密碼等信息，然后到多個(gè)網(wǎng)站嘗試批量登錄，得到一批可以登錄的用戶賬號(hào)及密碼。

“根據(jù)12306公告，很明顯將12306用戶信息數(shù)據(jù)為何發(fā)生泄漏推向了第三方搶票軟件。”一位從事網(wǎng)絡(luò)安全的互聯(lián)網(wǎng)人士告訴新金融記者，從12306官網(wǎng)在事件發(fā)生當(dāng)時(shí)發(fā)布的聲明，再到現(xiàn)今的公告，均是如此表態(tài)。

但就鐵路方面的回應(yīng)，第三方軟件廠商并不買賬。包括360、UC、獵豹等提供搶票功能的瀏覽器均對(duì)外否認(rèn)此次用戶數(shù)據(jù)泄漏與自身有關(guān)。其中獵豹移動(dòng)安全專家李鐵軍表示，獵豹搶票插件不保存用戶數(shù)據(jù)，因而不會(huì)造成用戶數(shù)據(jù)泄露的問題；同時(shí)獵豹也不提供離線搶票功能，因此不存在明文密碼泄露問題。

李杰對(duì)新金融記者表示，安全問題可以出現(xiàn)在任何地方，目前沒有測(cè)試很難明確責(zé)任。不過他認(rèn)為，此次發(fā)生用戶泄漏事件，12306仍需繼續(xù)完善。

據(jù)了解，創(chuàng)宇安全研究團(tuán)隊(duì)在事發(fā)后曾隨機(jī)聯(lián)系了該批數(shù)據(jù)中的多個(gè)用戶，均反饋說近期沒有使用過搶票軟件或沒有購票行為。在春運(yùn)搶票正值白熱化階段，出現(xiàn)用戶數(shù)據(jù)泄漏事件，無疑讓互聯(lián)網(wǎng)安全再度成為人們關(guān)注的焦點(diǎn)。

近年來此類事件屢有發(fā)生。近有攜程用戶個(gè)人信息被泄露，遠(yuǎn)有csdn用戶資料泄密。

“很多互聯(lián)網(wǎng)公司出現(xiàn)的安全漏洞，歸根到底是要質(zhì)還是要量的問題。網(wǎng)站為了快速發(fā)展用戶，有時(shí)候可能在系統(tǒng)調(diào)試中出現(xiàn)不嚴(yán)謹(jǐn)?shù)那闆r，大部分被黑客攻擊，都是因?yàn)榫W(wǎng)站調(diào)試或者更新時(shí)出現(xiàn)后門。”上述從事網(wǎng)絡(luò)安全的互聯(lián)網(wǎng)人士告訴新金融記者，不出問題就永遠(yuǎn)沒有問題，大多數(shù)公司都是這么想的。

他認(rèn)為，國(guó)內(nèi)對(duì)信息安全的重視程度一直不高，都是等出事了才重視一次。幾乎沒有幾個(gè)公司有專門的安全預(yù)防控制部門，其實(shí)這是很有必要的。