12306数据躺枪史：疑遭黑客“撞库”被偷13万隐私数据

点击上方“腾讯科技”，选择“置顶公众号”

关键时刻，第一时间送达

来源 / AI财经社（ID：aicjnews）

文 / 张唯一   编辑 / 鹿鸣

欢迎下载腾讯新闻客户端，关注科技页卡，查看更多科技热点新闻

6月13日，继A站发文称遭黑客攻击数据外泄、摩拜单车疑似遭到外泄后，中国铁路总公司官网“12306”也遭遇了躺枪。

13日下午，网络传言称，从2016年至2018年3月的3000万条12306网站数据疑似被泄露，其中包括“手机号、密码、支付密码、姓名、身份证号码、以及身份验证答案”等内容。

13日晚间，中国铁路总公司紧急回应称，经核查，该网站未发生用户信息泄露，网传信息与铁路12306网站无关。并提醒广大旅客，为确保个人信息安全请通过铁路12306官方网站和客户端购票，避免非正常渠道购票带来的风险。

四年前12306数据曾遭遇撞库

12306回应数据泄漏事件已不是第一次，早在2014年12月，“乌云漏洞”平台发布消息称大量12306用户数据在互联网上被传播售卖，包括帐号密码、身份证、邮箱等。目前已知公开传播的数据涉及用户数超过13万条。

对此，12306网站公告表示网站密码均经多次加密，网上泄露的信息是从其它网站和渠道流出。同时12306已经报警处理。

对于四年前这一事件，多位安全专家及网络安全机构均作出认定，数据有可能是黑客通过其他数据库“撞库”整理出来的。即黑客在其他平台上收集到已经泄露的用户名及密码信息，生成密码数据库，然后在12306网站尝试批量登录，得到一批可以登录的用户账号及密码。

多名乘客身份被抢票软件自动绑定

尽管12306发布公告迅速回应了这起“乌龙”事件，用户的反应，此次回应引起很多网友热议，表示并不会因此买账。接连反映信息被外泄的详细情况，一位叫“某田某菁芳”的网友表示，自己的帐号在12306买票多年，未丢过身份证也没有用过第三方软件抢票，但今年3月帐号莫名无法登录，电话查询12306客服被答复身份证已在1月注册，邮箱手机均有订票记录，原用户名也显示已占用。

AI财经社随后在网上搜索发现，网友” 某田某菁芳”遇到的情况绝非是个案，不少网友都有类似情况发生，而12306客服均回应表示没关系。

除12306本身或许还存在相应漏洞外，第三方抢票软件在2014年之后并没有所收敛，抢票软件数量、绑定信息量越来越多，并不断推出相关有偿选项。高铁管家抢票、智行抢票、飞猪等均可以自动获取12306用户帐号及密码帮用户代抢票。

6月14日，AI财经社在抢票APP“高铁管家”发现，新用户第一次登录绑定手机号后，该APP会自动获取该手机号在12306的乘车人信息，之后在此APP个人中心页面中会自动录入该手机号在12306添加的常用乘车人，即使这些相关乘车人未使用过此类第三方抢票软件，但该手机号曾帮购票的乘车人信息均被自动调入抢票APP中。同时抢票APP会默认绑定12306帐号，此前所有行程记录也可以在抢票APP中看到。即使退出该帐号，相关乘车人信息及行程记录仍然存在于抢票APP中。

在高铁管家抢票APP页面中，AI财经社发现，除了12306上面的信息外，在确认过乘车信息付款时，高铁管家页面会自动弹出两个选项，分别是先付票款自动出票、下单成功后再扣款。如果选择第二种付款方式，系统自动弹出支付宝免密支付页面并且只有同意免密才可完成交易。

这样一笔订单下来，高铁管家可以自动绑定12306、支付宝以及用户个人微信等相关信息，用户信息被泄漏的风险性自然就会有所提高。