提前60天買票變囤票長途票多過短途票受質疑13萬條12306用戶數據又遭泄露

　　編者按

　　昨日，國內最大的漏洞報告平臺烏云官網爆出，大約13萬條12306用戶數據在互聯網上被泄露并瘋傳。這意味著黑客完全可以利用用戶12306賬號進行買票、退票等操作。

　　記者隨后采訪多家安全公司獲悉，這次泄露的13萬條記錄，極可能是黑客通過其他數據庫撞庫整理出來的，后續還將產生更大的危害。

　　事實上，春運搶票大戰滋生的問題不止這一個。今年春運火車票預售期改為60天，買票難并未緩解，“囤票黨”應運而生，一時間退票的比買票的還多。

　　此外，不少人吐槽12306網站購票堪比“雙11”秒殺，一開搶便秒光；同一條線路車次中，長途火車票不時有余票放出，而短途車票卻一票難求。有業內人士指出，這與鐵路部門“區間限售”政策有關。然而，限售政策真的合理嗎？

　　文/廣州日報記者薛松、周可(除署名外)

　　廣州日報訊昨日，國內最大的漏洞報告平臺烏云官網爆出，大約13萬條12306用戶數據在互聯網上被泄露并瘋傳，包括用戶賬號、明文密碼、身份證郵箱等信息。這意味著黑客完全可以利用用戶12306賬號進行買票、退票等操作。

　　與多家網站數據泄露有關

　　多網站用同一密碼存隱患

　　昨日，記者隨機抽取了十多個賬號進行試驗，均成功登錄了12306，證明了該批數據是準確的。

　　瑞星公司人士說，本次泄露事件，很可能與網民使用的搶票軟件或購票網站安全性有關，問題的具體原因還在進一步核實中。

　　而獵豹公司人士說，正常情況下，注重安全的網站都不會使用明文密碼。因此，有關專家懷疑這次泄露的13萬條記錄，極可能是黑客通過其他數據庫撞庫整理出來的。

　　到底黑客是如何“撞庫”整理出來的呢？知道創宇一位人士說，通過搜索以往互聯網上的數據進行匹配，從17173.com、7k7k.com、uuu9.com等網站泄露流傳的數據中搜索到了該批13.15萬條用戶數據，基本可以確認該批數據全部是通過撞庫獲得。“這說明用戶在多個網站使用同一密碼的情況很普遍。”該人士說。

　　搶票軟件安全性眾說紛紜

　　此次數據泄露跟搶票軟件有沒有關系？目前，各大瀏覽器見縫插針地推出了網上搶票版，市面上的搶票軟件已有十幾款之多。中國鐵道科學研究院電子計算技術研究所副所長朱建生對媒體說：從保護個人信息安全的角度，建議不要使用第三方軟件，因為將賬戶和密碼交給第三方，安全是未知數。

　　騰訊一位人士則說，搶票軟件安全性還是有保障的，比如在賬號保護和支付環節搭載安全防護體系，安全性可能就比較強。

　　而獵豹瀏覽器相關產品負責人說，這需要區別對待，在線搶票軟件“不存在安全隱患”，因為只是模擬用戶在12306的操作，登錄和下訂單等內容都是直接通過12306的https請求操作的，沒有存儲用戶信息。

　　他說，但像離線搶票因為需要在插件商的服務器存儲賬號密碼等相關信息，可能會有安全隱患。

　　后續或還將產生更大危害

　　據瑞星安全專家介紹，此次泄露的用戶信息約有13萬條，但很可能只是冰山一角，近期不排除有成百上千萬的用戶信息還將遭受泄露或黑市買賣。由于被泄露的信息真實率極高，而且大量用戶使用手機號、QQ郵箱當做用戶名，因此，除購票網站信息被泄露以外，后續還將產生更大的危害，例如：QQ、微信、郵箱等關鍵網絡服務被盜，從而給網民帶來嚴重的經濟損失。

　　焦點關注：

　　新“玩法”下春運你搶到票了嗎？

　　問題1

　　預售提前催生囤票：退票的比買票的還多

　　盡管節前購票高峰已結束，但昨日上午，廣州火車站售票廳的三個退票窗口前還是早早排起了長隊，這些人幾乎都是在買到了滿意的車票之后，趕在15天免費退票期之前來退掉多余的“囤票”。

　　在今年“火車票預售期提前60天”及“提前15天退票不收取退票費”新規下，囤票現象并非個案。王女士稱，因無法確定單位的放假時間，只好囤下幾張不同時間的車票備著以防萬一，在接到準確放假通知后，她便前來退票。

　　此前還有報道稱，上海一對夫妻為搶兩張回哈爾濱的車票，一共囤了21張車票。一直沒買到票的張先生表示，“這些人占用這么多票，那我們沒買到票的人怎么辦？”囤了一張站票的白領小周則說，“現在提前60天就為買票寢食難安，嚴重影響年底工作。”

　　鐵路部門工作人員表示，囤票這種購票方式影響了他人購票，但目前卻還沒有辦法進行約束。有業內人士指出，“在運力增加有限的情況下，預售期拉長到60天無濟于事，以往買不到票的依然買不到票，只不過把搶票的時間提前了。唯一的好處就是每天刷刷撿別人退票的機會多一些，但這樣會耽誤更多時間和精力。”

　　問題2

　　提前15天退票免費：“黃牛”趁機興風作浪

　　由于囤票問題嚴重，有不少人開始質疑，“12306網站為何不限制每張身份證只能購買一張火車票？”對此，相關部門表示，對不同天同一車次或同一天不同車次，使用同一身份證號訂票是沒有問題的，部分旅客囤積多張火車票的做法并不違反火車票實名制規則。

　　廣州日報記者昨日在廣州火車站發現，退票窗口的排隊人群周圍，總有不少形跡可疑的男女悄悄上前與排隊退票者交談。一名被搭話的退票者稱，“他們是黃牛，想要我的退票。我說：‘我怎么能保證我退的票他們就能買到呢？’那個人只說他會跟我一起到窗口去，其他的他自有辦法。”

　　“雖然一張身份證只能買一張票，但‘黃牛’總有辦法倒賣車票。”一業內人士稱，“提前15天退票免收手續費，這大大增加了黃牛作案的機會。”他認為，關鍵問題還是要加大力度打擊倒票行為。

　　問題3

　　區間限售不透明：搶票堪比“雙11”秒殺

　　在廣州打工的張阿姨想搶一張能在除夕前回老家湖南岳陽的高鐵票。可從12月19日到12月22日，連續三天都出現一開搶便一秒售完的情況。幫忙搶票的李小姐表示，“比雙11的秒殺還難！”

　　此后李小姐意外發現，“下午G68廣州南到岳陽一直顯示無票，但到晚上就突然有了很多G68到石家莊的車票，于是只好買了一張到石家莊的二等座讓阿姨中途到岳陽下車。”記者發現，G68廣州到石家莊的二等座車票比到岳陽貴了412元。

　　對此，有內部人士稱，上述情況與區間限售政策有關，一開搶便“秒光”，很大一部分原因是該車次在限售區間內沒有放票或極少放票。上述人士舉例稱，“假如從A地為始發站，B地為終點站，那么前往中途C地的火車票便極有可能被限售。”但石家莊也并非G68終點站。

　　不少網民猜測，鐵路部門“棄短護長”或許是鐵路公司用以牟利的手段。“都去買長途票，他們就多賺錢。”對此，有業內人士表示，關鍵是做到合理限售，“應首先在技術上得出在哪些路段限售，按什么比例限售，這些都要有精確統計。”

　　各方回應PK(廣州日報記者杜萌、張晨、林廣)

　　12306官方：

　　“針對互聯網上出現“12306網站用戶信息在互聯網上瘋傳”的報道，經12306網站認真核查，此泄露信息全部含有用戶的明文密碼。而12306網站數據庫所有用戶密碼均為多次加密的非明文轉換碼，網上泄露的用戶信息系經其他網站或渠道流出。目前，公安機關已經介入調查。

　　為保障廣大用戶的信息安全，請旅客通過12306官方網站或官方手機客戶端購票，不要使用第三方搶票軟件購票，或委托第三方網站購票，以防止您的個人身份信息外泄。”

　　360瀏覽器搶票軟件：

　　“360瀏覽器搶票軟件具有業界最嚴格的安全防護機制，從沒有發生數據泄露情況。通過對網上公開傳播的超過13萬條12306用戶數據進行調查分析，此事與360沒有任何關系。公安機關可以根據這些受害用戶信息進行調查，很快就能挖出泄露數據的源頭。”

　　補救措施

　　公信手機衛士工程師、安全專家王占濤提示說，在烏云的漏洞等級里，10就是很高的了；目前還不知道具體原因出在哪里，建議馬上改掉12306的密碼，各常用網站間的注冊密碼最好不要一樣。然后，告訴12306上有資料的親戚朋友：在最近半年內，不要相信類似任何“我是小王的朋友、警官、醫生、學校老師……”的電話、短信，如果遇到緊急事態，一定要當面確認，才能從事匯款、ATM操作等高危動作。

原標題: 12360用戶數據“泄密”陷“羅生門” 趕緊換密碼