12月25日上午，不少人刚刚从圣诞礼物的惊喜中缓过神儿来，就迎来一个不小的惊吓。乌云网发布漏洞报告称，大量12306用户数据在网络上疯狂传播。据了解，这次泄露事件被泄露的数据达131653条，包括用户账号、明文密码、身份证和邮箱等多种信息。乌云网是一家专注于互联网安全漏洞报告的平台，这堪称其历史上最大的一次铁路用户数据泄露。

“我有多想回家，恨你就有多深”，归乡心切但又抢不到票的网友早已把情绪一股脑倾泻在12306上，用户信息泄露更是一次火上浇油。有网友表示自己好像在裸奔。东方网刊登署名王凯的文章更称，“12306不能把信息泄漏责任一推了之”，并加上编辑点评：“一件事要么不做，要做就做好。”

随着两名嫌犯昨晚被捕，这起疑窦丛生又闹得沸沸扬扬的事件终于有了眉目。经查，始作俑者是嫌疑人蒋某某、施某某，他们通过收集某游戏网站以及其他多个网站泄露的用户名加密码信息，尝试登陆其他网站进行“撞库”。

被泄露的部分用户数据

破案之前，先来分析一下罪犯的动机。黑客窃取信息后如何操作？如果黑客是黄牛党，操纵旅客的12306账号刷到票，就会建议买家用自己身份证亲自购买同车次短程票。顺利上车后，再使用黄牛党所售的车票，因为有时上车可能不会检查身份证。一名铁路系统专家告诉观察者网，这显然可以在取票、查票环节加以封堵，让黄牛不能取到他人的票，取到票也卖不出去。自26日起，12306已开始实施多项新措施，打击冒用身份购票，包括取消售卖行程冲突的车票。

不过，在互联网的黑市里有一个非常成熟的利益产业链：拖库、洗库和撞库。“拖库”是指入侵有价值的网络站点，把数据库全部盗走的行为。盗取数据后，黑客会通过一系列的技术手段清洗数据，并在黑市上将有价值的用户数据变现交易，此为“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆，也就是前面说的“撞库”。

目前在互联网上公开流传的用户数据很多，仅2012年CSDN、天涯的泄露数据就超过2亿条，今年还出现了携程、如家、当当的泄露事件。如果黑客拿用户的12306数据在别的网站也能“撞开”，那么用户的风险就不仅仅是被冒用身份无法正常购票了。

所幸，12306泄露事件发生至今，尚未曝出泄露的个人信息中包括用户购票的银行卡信息。但尽快修改登录12306时所使用邮箱的密码无疑是明智的防范之举，邮箱密码和登录密码切不要相同。

初步调查结论是黑客从其他网站拖来数据，其中部分因为用户没有更换不同账号密码，给了黑客可乘之机，撞开了12306。这么说12306没有被入侵。

12306到底有没有漏洞？中国铁路客户服务中心表态，此次泄密事件与12306网站无关，因该网站认真核查，此泄露信息全部含有用户的明文密码。但12306网站数据库所有用户密码均为多次加密的非明文转换码。

这就是说，泄露信息中用户的账户密码、姓名、身份证号一目了然。而12306敢于拍胸脯保证，网站保存的信息是多次加密的非明文转换码，未破译前就是一堆乱码天书，黑客就算拿得到，想读得懂也没那么容易，泄漏的可能性极低。

铁路客户服务中心不忘提醒旅客：通过12306官方网站购票，不要使用第三方抢票软件购票或委托第三方网站购票，以防止个人身份信息外泄。

注重安全的网站一般不会使用明文密码，所以事发后当矛头转向“携程旅行”、“铁友火车票”、“火车票达人”、“盛名时刻表”、“去哪儿”等抢票软件时，他们也纷纷以此为自己辩护。

不过技术可以保障，家贼却难防。如果网站错选了无良的软件开发商，他们还是可以从后台获取使用者的相关信息，主动倒卖泄露出去。选择抢票软件，就等于多了一个中介，也意味着多了一点风险。就在事发上一周内，国家信息安全漏洞共享平台共收集、整理信息安全漏洞144个。

360互联网安全中心的研究人员斩钉截铁地表示：“此次12306网站信息泄露是被黑客撞库造成的。”这与官方的初步调查结论吻合。

因为调查发现：第一、几乎所有13万条12306账号密码，都可以在此前多家游戏网站泄露的密码库中匹配到相应的记录。说明黑客用多家游戏网站的密码库对12306发动“撞库”攻击，筛选出13万余条使用相同账号密码的用户数据。第二，通过对12306泄露数据中的相关用户进行抽样调查，超过半数没有使用任何抢票软件，其余则是使用不同的抢票软件。

此前，网络流传18G的12306全部数据的消息已被辟谣。

不过法律界人士并不愿放过12306的嫌疑，中国政法大学传播法研究中心研究员朱巍分析称，如果12306是出于过失导致信息泄露，司法实践中会采用过错推定原则确定侵权责任，“即先推定12306存在过错，然后由12306举证，证明自己尽到了安保责任”，朱巍还表示，即使12306根本不知情，信息泄露源于不可抗力，也要证明自己尽到了安保义务。

虽然邬迪表示“此事目前还无法下定论。”而对抢票软件的责任，专家们也各执一词，21世纪经济报道已经提问“12306网站为什么会留下这么大的漏洞？”，并援引猎豹移动安全专家李铁军的话：“如果这次撞库发生在Google、微软身上，不可能成功。因为成熟的网站都会在登陆服务器时设置二次验证程序。国内很多网站为了节省成本，并没有设置这一道程序。”但李铁军并没有指出国家级网站12306是不是“不成熟”的网站，只表示目前并不清楚，此次漏洞是否与验证程序设置有关。

无论如何，公安机关介入调查此事已取得进展，案情终有水落石出的一天，不少网友也围观坐等结果。作为唯一的网络购票渠道，12306必然要扛起全部的重担，众目之下，仍任重道远。