12306用户信息泄露背后的黑色产业链（2）

泄露原因何在?

乌云网创始人邬迪告诉21世纪经济报道记者，12月25日上午10：59，在事件发生后，乌云网立刻进行了核查，在确认该消息的真实可靠性后对此事进行了发布。

不久后12306就在第一时间知道了此消息，并与乌云网取得联系，表示会认真调查此事，并在日后发布公告。

下午14：15，乌云网通过新浪微博发布了消息称，数据疑似黑客撞库后整理得到，而并非12306直接泄漏，请用户及时修改密码同时慎用抢票工具。

邬迪也对21世纪经济报道记者称，所谓“撞库”就是黑客通过收集网络上已泄露的用户名及密码信息，生成对应的“字典表”，到其他网站尝试批量登录，得到一批可以登录的用户账号及密码。

登录用户的后台后，可能存在邮箱、手机号码、身份证号码被泄露、账务积分和账户余额流失等多种风险。

“如果用户及时修改原始密码就可以规避撞库风险。”邬迪说，“但这并不等于自己的信息就完全安全了。”

邬迪告诉记者，除了撞库，还有另一种方式叫做拖库。黑客通过技术直接下载某平台的全部数据库。“但本次12306泄露可以排除拖库的可能性。”

在业内人士看来，“拖库”是指入侵有价值的网络站点，把数据库全部盗走的行为。盗取数据后，黑客会通过一系列的技术手段清洗数据，并在黑市上将有价值的用户数据变现交易，此为“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆，叫做“撞库”。

浪潮电子信息安全事业部副总经理蔡一兵对21世纪经济报道记者称，“在互联网的黑市里有一个非常成熟的产业链，有一个非常成熟的形成利益过程：拖库、洗库和撞库。”

针对此次泄露事件的原因，360互联网安全中心的安全研究人员非常肯定地以书面方式回答21世纪经济报道经济的采访函时表示，“此次12306网站信息泄露是被黑客撞库造成的。”

其理由是，经过他们安全研究人员的调查发现，第一、几乎所有13万条12306账号密码，都可以在此前多家游戏网站泄露的密码库中匹配到相应的记录。说明黑客用多家游戏网站的密码库对12306发动“撞库”攻击，筛选出13万余条使用相同账号密码的用户数据。第二，通过对12306泄露数据中的相关用户进行抽样调查，超过半数没有使用任何抢票软件，其余则是使用不同的抢票软件。

在今天的泄露事件发生后，网上曾流传称，有18G的完整12306数据库被泄露，但是目前并没有人在网上找到过这个数据库。

泄露事件发生后，12306发布公告称网上泄露的用户信息系经其他网站或渠道流出，原因是12306网站使用的是多次加密的密码，而泄露的是明文密码。分析人士称，这也从另一个侧面说明，这些密码可能不是从12306网站泄露出去的。

据乌云官网发布的消息称，漏洞已交由第三方厂商国家互联网应急中心处理。12月25日，国家互联网应急中心人士对21世纪经济报道记者表示：“事件正在调查当中，结果以官网发布为准。”

一位网络安全研究人员对21世纪经济报道记者称，12306网站第一时间知道这个事情的，并发布了公告，但是几个小时过去了，那些用户名和密码还可以登录，并可能被用于更改他人密码、找到他人的电话号码，甚至帮人家退票，“他们为什么不紧急通过技术手段，短信通知用户，将泄露的用户密码强制更改或提醒客户更改？”