12306案告破 称80%出票通过抢票软件

　　“中国铁路”称，2014年12月25日晚间铁路公安将嫌疑人蒋某某、施某某成功抓获，嫌疑人通过手机互联网某游戏网站以及其他多个网站泄漏的用户名加密码信息，尝试登陆其他网站进行“撞库”，非法获取用户的其他信息，并谋取非法利益。同时，铁路方面再次重申，旅客购票要通过12306官方网站购票，不要使用第三方抢票软件或委托第三方网站购票，防止个人身份信息外泄。所谓“撞库”是指，黑客通过收集网络上已泄露的用户名及密码等信息，然后到多个网站尝试批量登录，得到一批可以登录的用户账号及密码。

　　“中国铁路”的官方回应也将究竟是谁泄露用户信息谜团推向了第三方抢票软件。但有安全专家指出，铁路公安就此事件做出定性是否令人信服存疑。

　　12月25日下午，针对网上流传12306网站大量用户数据泄露一事，12306网站发布公告证实了此事，不过铁路方面将泄露责任推向了第三方称，此泄露信息全部含有用户的明文密码，12306网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。

　　中国铁路总公司相关人士在接受财新记者采访时表示，12306网站为中国铁路总公司信息技术中心主管，铁总历年均强调旅客不要使用第三方抢票软件进行恶意刷票，但是效果甚微。该人士透露，目前经12306网站所出车票有80%是通过抢票软件实现的，且该比例还在不断提升。该人士举例称，在上周，某第三方抢票软件突破12306网站5秒刷新一次的最高频率，达到2秒刷新一次，这给系统造成了极大负担。该人士说，无论从公平购票角度考虑还是保护个人信息安全的角度考虑，旅客都不要使用第三方软件，因为将个人信息交给第三方，安全是没有保障的。

　　就铁路方面的回应，第三方软件厂商并不买账，一位安全软件专家则对财新记者表示，安全问题可以出现在任何地方，目前没有测试很难明确责任。他给用户的建议是，尽量在不同网站使用不同密码，并避免在第三方插件中输入账号密码。对于网站方，可以采用多重保护措施，减少用户密码泄露后对用户的损失，比如使用双因素验证如引入短信验证码等机制，避免以密码作为单一的验证凭据，从而在即使用户密码泄露情况下尽可能降低泄露损失。

　　央广网也援引携程、百度、360等第三方软件提供方人士回应称，这次事件跟抢票软件都没有关系，而是黑客通过撞库的方式利用12306的漏洞来获取了这13万多条这个用户数据。央广网报道称，知道创宇安全研究团队也对此进行了紧急调查，他们随机联系了该批数据中的多个用户，均反馈说近期没有使用过抢票软件或没有购票行为。安全分析师认为，被黑客袭击表明，12306仍需继续完善。

　　12306网站的建设由中国铁路总公司下属的中国铁道科学研究院主导，联合太极计算机股份有限公司(002368.SZ，下称太极股份)、同方股份有限公司(下称同方股份)共同参与建设。公开资料显示，网宿科技股份有限公司也曾参与12306网站的CDN网页加速和WSA全站加速解决方案的建设。其中，太极股份全程参与了12306网站建设。

　　12306网站为中国铁路总公司信息技术中心主管，其负责在全路范围内应用的路网性信息系统的设计、研发、实施及运行维护，还肩负铁路重要信息系统的建设管理职责。-