25日，大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)瘋傳，包括用戶賬號、明文密碼等。26日，12306鐵路客服中心發(fā)布公告，稱鐵路公安機(jī)關(guān)破獲多起利用他人身份信息在網(wǎng)上囤票倒票的案件，即日起售票系統(tǒng)將不接受行程沖突的購票。
　　烏云報告>> 12306用戶數(shù)據(jù)泄露涉13萬人
　　25日上午，漏洞報告平臺烏云網(wǎng)出現(xiàn)了一則關(guān)于12306的漏洞報告，危害等級顯示為“高”，漏洞類型為“用戶資料大量泄漏”。這意味著，這個漏洞將有可能導(dǎo)致所有注冊了12306用戶的賬號、明文密碼、身份證、郵箱等敏感信息泄露。而獵豹官方微博信息顯示，已有旅客反映，從12306官方網(wǎng)站購買的車票被退票了!
　　這批數(shù)據(jù)涉及用戶約13萬。12306隨后回應(yīng)，經(jīng)查，網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出。
　　公安介入>> 兩“撞庫”竊取信息嫌疑人被抓
　　25日晚，鐵路公安機(jī)關(guān)將涉嫌竊取并泄露12306數(shù)據(jù)的犯罪嫌疑人抓獲。經(jīng)查，嫌疑人蔣某某、施某某通過收集某游戲網(wǎng)站以及其他多個網(wǎng)站泄露的用戶名加密碼信息，嘗試登錄其他網(wǎng)站進(jìn)行“撞庫”，非法獲取用戶的其他信息，謀取非法利益。
　　所謂“撞庫”，是指黑客通過收集各網(wǎng)站已泄露的用戶名及密碼信息，生成龐大的密碼庫，然后到其他網(wǎng)站嘗試用自動化工具批量登錄，得到一批可以使用相同賬號及密碼的數(shù)據(jù)。
　　12306發(fā)聲>> 不再賣行程沖突車票
　　26日，12306鐵路客服中心發(fā)布公告，稱即日起售票系統(tǒng)將不接受行程沖突的購票，如果旅客再次購票時被提示與前次購票行程沖突，要已購車票辦理改簽或退票后重新購票。旅客網(wǎng)上購票，發(fā)現(xiàn)身份信息被他人冒用購票，造成行程沖突(指同一乘車人的乘車時間出現(xiàn)交叉)不能購票時，可在互聯(lián)網(wǎng)上舉報后繼續(xù)購票。在車站窗口、代售點(diǎn)等渠道購票時，發(fā)現(xiàn)身份信息被他人冒用購票，造成行程沖突不能購票的，可到就近車站指定窗口舉報后繼續(xù)購票。
　　12306網(wǎng)站還提醒旅客：“請通過12306官方網(wǎng)站購票，不要使用第三方搶票軟件購票，以防止個人身份信息外泄。”不過，搶票軟件紛紛否認(rèn)泄密和自己有關(guān)。專家還建議，網(wǎng)友立刻修改12306登錄密碼。
　　馬上落地濟(jì)南未發(fā)現(xiàn)大面積退票情況
　　因?yàn)?2306上的注冊信息泄漏，有人預(yù)測可能出現(xiàn)大面積惡意退票的情況發(fā)生。26日記者了解到，包括濟(jì)南火車站、濟(jì)南東站和濟(jì)南西站在內(nèi)的各火車都沒有出行大面積異常退票的情況。退改簽情況穩(wěn)定。 (記者尹爽)專家聲音
　　12306賬號安全體系存在缺陷
　　多位安全專家認(rèn)為，12306賬號安全體系存在缺陷，才會被黑客利用自動化程序嘗試登錄“撞庫”。
　　獵豹移動安全專家李鐵軍稱，成熟的網(wǎng)站都會在用戶登陸時設(shè)置兩步驗(yàn)證程序。“登錄不能僅靠賬戶和密碼，像蘋果iCloud、谷歌、微軟都設(shè)置了動態(tài)密碼的驗(yàn)證程序，多一層保護(hù)。國內(nèi)很多網(wǎng)站為了節(jié)省成本，并沒有設(shè)置這一道程序。”目前并不清楚，此次漏洞是否與驗(yàn)證程序設(shè)置有關(guān)。
　　中國政法大學(xué)傳播法研究中心研究員朱巍稱，如果12306是出于過失導(dǎo)致信息泄露，司法實(shí)踐中會采用過錯推定原則確定侵權(quán)責(zé)任，“即先推定12306存在過錯，然后由12306舉證，證明自己盡到了安保責(zé)任”。
　　歷史回顧這些年12306出過的漏洞
　　2012年至今，在烏云網(wǎng)上，關(guān)于12306網(wǎng)站被披露的漏洞接近50個，其中涉及用戶資料泄漏和敏感信息泄露的漏洞占7%，還有44%的漏洞可間接導(dǎo)致信息泄漏。
　　比如2014年7月，12306被曝安全漏洞。如果黃牛破解該漏洞，一個人就可以將全車廂的票買下來。12306之后確認(rèn)漏洞存在，但稱正在解決。早前，微信上一則“12306購票可選上下鋪”的攻略被瘋狂轉(zhuǎn)發(fā)。12306稱，該漏洞已被修復(fù)。

還有一些漏洞持續(xù)了很長時間。12306提供的根證書“SRCA”(中鐵CA)，這是其自行發(fā)布的證書，其采用的加密方式在4年前已被微軟認(rèn)定為“不安全”。這個情況從12306上線持續(xù)至今，但12306從不對此問題進(jìn)行回應(yīng)。
　　2014年1月，12306被發(fā)現(xiàn)使用假身份證可以訂票。12306稱，該網(wǎng)站對身份證號信息沒有審核環(huán)節(jié)。直到3月，網(wǎng)站才啟用身份信息核驗(yàn)。
　　(本版稿件除署名外綜合新華社、《新京報》、澎湃新聞等)