鐵總否認，那暗網超 400 萬 12306 用戶數據是從哪泄露的？

12 月 28 日，Freebuf 稱，「圈內又在傳一張疑似12306泄露數據暗交易的圖，春運搶票高峰還沒到，黑產分子就已經出手了」。據稱，這份數據包括 60 萬賬戶信息，詳細到除了ID、手機號、密碼之外，連姓名、身份證、郵箱、問題及答案然都有，根據安全問題很可能能夠直接申訴獲取其它平台賬戶的重要信息。此外，還包括每個賬戶中添加的聯繫人信息，設計姓名及身份證號，這些聯繫人數據總量高達410萬。

按照暗網兜售信息的老規矩，兜售者還給出了 50 條隨機數據以供買家驗證。

隨後，鐵總出來闢謠：

不過，吃瓜群眾請注意，鐵總出來闢謠，說的是鐵路 12306 網站未發生用戶信息泄露，並不代表此次用戶信息泄露事件為假，按照安全圈的部分小夥伴驗證，這些信息還真「對得上號」。

因此，一些媒體分析，此次在暗網出現的 12306 用戶可能來源自第三方搶票軟體，或者是不法分子撞庫所得，但雷鋒網從多個渠道打聽得知，基本可以排除第二個選項。

12 月 28 日，網路尖刀團隊創始人曲子龍在其公眾號撰文稱，「從合理性的角度出發，直接去撞12306，然後用機器人去繞他那個該死的驗證碼，說實話這種撞庫產生不是不可能，但是經驗告訴我們這個投入產出比不是特別的理性。我們幾個小夥伴關聯一下相關信息，把事件定位鎖定在『有可能是第三方的搶票軟體被攻擊』導致用戶信息泄露從而致使數據泄露的可能性會更高些」。

曲子龍解釋，用戶在第三方平台上面輸入12306的賬戶密碼，因為第三方平台需要保持用戶的持續登錄狀態，所以它要存儲其賬戶密碼的明文，同時因為要填寫購票信息，所以也存儲了一份用戶的個人信息。

隨後，曲子龍還對雷鋒網編輯表示，其所在的團隊溯源了六個多小時，根據目前這份數據，他們推測，有兩種可能的泄露途徑。「一是老庫篩出來還能用的數據，但是這樣成本其實挺高；二是我之前的觀點第三方搶票軟體泄漏，12306在11月初改版後已經沒有問題和密保的欄位，這份數據肯定不是新數據，某些搶票軟體在之前是有記錄過密保這個欄位的，所以有一定可能，畢竟搶票軟體不是今年才開始的。」

「從老庫刪選的新數據」這一推測與知道創宇首席安全官周景平（黑哥）的觀點一致。不過，他對雷鋒網強調，目前都是推測，「個人傾向於老數據清洗所得」。

360 網路安全響應中心高級安全分析師韓昊晟對雷鋒網表示，由於沒有之前的歷史數據不能判斷重合率，但是通過數據量、售價（20$）、暗網中其他12306帖子的數據可以看出，應該不是官方泄露。「可能來自之前歷史數據或第三方購票軟體的數據。另外，從暗網的帖子看，最近不止這一個人出售。還是建議用戶加強安全意識，通過官方渠道購票避免非正常渠道購票帶來的風險。」

雷鋒網還發現，安全公司「數字觀星」在其公眾號透露，根據目前暗網的交易記錄，已有 2 人付費購買。該公司定位到了疑似「賣家」的新浪微博。數字觀星稱，根據該博主的登錄歷史記錄，即可以組成一條成型的證據，觀星已經將相關證據提交給有關部門。

［圖片來源：數字觀星微信公眾號］

如果你在第三方搶票軟體登記過相關個人隱私信息，以及在其他關鍵賬戶上設置了與12306賬戶類似的密碼，雷鋒網編輯建議，以防萬一，還是趕緊修改一把密碼吧！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！