12306用户信息泄露背后的黑色产业链（3）

为什么会有这么大的漏洞?

不过，邬迪称，“此事目前还无法下定论。”

在12306网站在发布上述提示公告时，还特别提醒旅客不要使用第三方抢票软件购票。这使得外界怀疑，此次泄露事件由第三方抢票软件而起。

一位长期研究刷票软件的人员告诉21世纪经济报道，目前抢票软件发展速度极快，但并不存在十分清晰的盈利模式，因此从第三方软件中泄露数据的可能性也依然存在。

一位从事软件程序开发的技术人员告诉21世纪经济报道记者，这类抢票软件的技术要求一般不高，如果第三方没有严格的保护措施，用户信息就存在不安全的隐患。

对于此，360公司相关人员书面回应称，360抢票王基于360安全浏览器，360安全浏览器的上网安全技术和措施都可以保障抢票王的安全。他们认为，此次12306数据泄露事件与抢票软件无关。

互联网安全专家更关心的是，如果真是撞库造成的泄露，12306网站为什么会留下这么大的漏洞？

“如果这次撞库发生在Google、微软身上，不可能成功。因为成熟的网站都会在登陆服务器时设置二次验证程序。国内很多网站为了节省成本，并没有设置这一道程序。”猎豹移动安全专家李铁军对21世纪经济报道说。但是，目前并不清楚，此次漏洞是否与验证程序设置有关。

据一位对乌云网比较了解的专业人士称，12306网站从2012年2月开始，在乌云网上被披露的漏洞接近50个，其中涉及用户资料泄漏和敏感信息泄露的漏洞占7%，而还有44%的漏洞可间接导致信息泄漏，例如命令执行漏洞和SQL注射漏洞。

而这些被监测到的漏洞都持续了很长时间。这位专业人士称，他们也不明白为什么这些漏洞一直没有被补救。

360安全专家安扬也认为，12306网站被撞库，说明12306账号安全体系仍需要进一步完善，尽可能及时发现并阻断黑客撞库攻击。

据21世纪经济报道此前的报道，12306网站由铁科院开发，铁科院是原铁道部下属的单位。

一位从事高铁安全行业的人士对21世纪经济报道记者称，其实早在之前，铁科院内部已经发现这一问题，但至今尚未完全解决，直到如今东窗事发。