25日，大量12306用戶數據在互聯網瘋傳，包括用戶賬號、明文密碼等。26日，12306鐵路客服中心發布公告，稱鐵路公安機關破獲多起利用他人身份信息在網上囤票倒票的案件，即日起售票系統將不接受行程沖突的購票。
　　烏云報告>> 12306用戶數據泄露涉13萬人
　　25日上午，漏洞報告平臺烏云網出現了一則關于12306的漏洞報告，危害等級顯示為“高”，漏洞類型為“用戶資料大量泄漏”。這意味著，這個漏洞將有可能導致所有注冊了12306用戶的賬號、明文密碼、身份證、郵箱等敏感信息泄露。而獵豹官方微博信息顯示，已有旅客反映，從12306官方網站購買的車票被退票了!
　　這批數據涉及用戶約13萬。12306隨后回應，經查，網上泄露的用戶信息系經其他網站或渠道流出。
　　公安介入>> 兩“撞庫”竊取信息嫌疑人被抓
　　25日晚，鐵路公安機關將涉嫌竊取并泄露12306數據的犯罪嫌疑人抓獲。經查，嫌疑人蔣某某、施某某通過收集某游戲網站以及其他多個網站泄露的用戶名加密碼信息，嘗試登錄其他網站進行“撞庫”，非法獲取用戶的其他信息，謀取非法利益。
　　所謂“撞庫”，是指黑客通過收集各網站已泄露的用戶名及密碼信息，生成龐大的密碼庫，然后到其他網站嘗試用自動化工具批量登錄，得到一批可以使用相同賬號及密碼的數據。
　　12306發聲>> 不再賣行程沖突車票
　　26日，12306鐵路客服中心發布公告，稱即日起售票系統將不接受行程沖突的購票，如果旅客再次購票時被提示與前次購票行程沖突，要已購車票辦理改簽或退票后重新購票。旅客網上購票，發現身份信息被他人冒用購票，造成行程沖突(指同一乘車人的乘車時間出現交叉)不能購票時，可在互聯網上舉報后繼續購票。在車站窗口、代售點等渠道購票時，發現身份信息被他人冒用購票，造成行程沖突不能購票的，可到就近車站指定窗口舉報后繼續購票。
　　12306網站還提醒旅客：“請通過12306官方網站購票，不要使用第三方搶票軟件購票，以防止個人身份信息外泄。”不過，搶票軟件紛紛否認泄密和自己有關。專家還建議，網友立刻修改12306登錄密碼。
　　馬上落地濟南未發現大面積退票情況
　　因為12306上的注冊信息泄漏，有人預測可能出現大面積惡意退票的情況發生。26日記者了解到，包括濟南火車站、濟南東站和濟南西站在內的各火車都沒有出行大面積異常退票的情況。退改簽情況穩定。 (記者尹爽)專家聲音
　　12306賬號安全體系存在缺陷
　　多位安全專家認為，12306賬號安全體系存在缺陷，才會被黑客利用自動化程序嘗試登錄“撞庫”。
　　獵豹移動安全專家李鐵軍稱，成熟的網站都會在用戶登陸時設置兩步驗證程序。“登錄不能僅靠賬戶和密碼，像蘋果iCloud、谷歌、微軟都設置了動態密碼的驗證程序，多一層保護。國內很多網站為了節省成本，并沒有設置這一道程序。”目前并不清楚，此次漏洞是否與驗證程序設置有關。
　　中國政法大學傳播法研究中心研究員朱巍稱，如果12306是出于過失導致信息泄露，司法實踐中會采用過錯推定原則確定侵權責任，“即先推定12306存在過錯，然后由12306舉證，證明自己盡到了安保責任”。
　　歷史回顧這些年12306出過的漏洞
　　2012年至今，在烏云網上，關于12306網站被披露的漏洞接近50個，其中涉及用戶資料泄漏和敏感信息泄露的漏洞占7%，還有44%的漏洞可間接導致信息泄漏。
　　比如2014年7月，12306被曝安全漏洞。如果黃牛破解該漏洞，一個人就可以將全車廂的票買下來。12306之后確認漏洞存在，但稱正在解決。早前，微信上一則“12306購票可選上下鋪”的攻略被瘋狂轉發。12306稱，該漏洞已被修復。

還有一些漏洞持續了很長時間。12306提供的根證書“SRCA”(中鐵CA)，這是其自行發布的證書，其采用的加密方式在4年前已被微軟認定為“不安全”。這個情況從12306上線持續至今，但12306從不對此問題進行回應。
　　2014年1月，12306被發現使用假身份證可以訂票。12306稱，該網站對身份證號信息沒有審核環節。直到3月，網站才啟用身份信息核驗。
　　(本版稿件除署名外綜合新華社、《新京報》、澎湃新聞等)