12306 再爆数据泄漏，中铁总局官方辟谣：没有此事

今日午间，暗网疑似有人兜售 12306 用户数据，内含约 60 万账户信息和 410 万联系人数据。晚间，中国铁路通过社交平台对此消息进行了辟谣，宣布网传信息不实。网友：这是第几次了？

今日午间，暗网有用户低价兜售 12306 用户数据，自称内含 60 万账户信息和 410 万联系人数据，并给出了表格数据的具体格式：60 万账户信息包括用户 ID-手机号-用户名-明文密码-姓名-身份证号-邮箱-问题-答案；410 万联系人数据包含 ID-账号 ID-主账号姓名-姓名-身份证号，并宣称两个文件均为 Excel 格式，只需加 5 美元就可转成 MySQL 格式，因为是易复制资源，所以一旦售出概不退款。

为了证明数据的真实性，曝光者还随贴附送了 50 条随机数据，12306 截图和相关联系人数据，图片被曝光在新浪公共图床，有好奇者随即对该数据进行了测试，与以往的“撞库”不同，这次泄漏的信息非常详细，经过测试：图片中显示的 50 条数据均为真实数据，这也增加了公众的恐慌。

笔者随即通过社交平台联系了该测试者，该测试者表明数据确实为真实数据，已经亲自登录验证，从所提供的字段来看确实十分像 12306 的存储格式，但 12306 的密码采用多层加密，除非黑客在“黑”网站的同时也获得了网站的解密方式，但这概率不高。只能说相关流程和渠道太多，无法知晓这 50 条用户数据的来历。不少网友在社交平台发表评论怀疑本次数据泄漏与使用抢票软件有关。

据统计，这也不是 12306 第一次陷入数据泄漏丑闻。早在 2014 年 12 月，“乌云漏洞”平台就曾有消息称大量 12306 用户数据在互联网上被传播售卖，包括账号密码、身份证号、邮箱等字段。如果此消息成立，那么已知公开传播的数据涉及用户数就超过 13 万条。今年 6 月 13 日，网络也曾传言，从 2016 年至 2018 年 3 月的 3000 万条 12306 网站数据疑似被泄漏，其中包含“手机号、密码、支付密码、姓名、身份证号以及身份验证答案”等内容。

对于上述事件，多位安全专家及网络安全机构曾给出认定，数据很大可能源于黑客通过其他数据库“撞库”整理出来的，即黑客收集其他平台泄漏的用户信息和密码信息，生成密码数据库，然后在 12306 网站批量尝试登录，最终得到一批可以登录的用户账号及密码。

今日晚间，中国铁路通过社交平台对此消息进行了辟谣，声明如下：

对此，多名网友怀疑此次事件与抢票软件有关，因为官方辟谣但用户数据为真这点确实解释不通。有网友表示，登录抢票软件时发现自己的身份被软件自动绑定，新用户只要第一次登录并绑定手机号后，某些 APP 会自动获取该手机号的 12306 乘车人信息，之后会在个人中心页面自动录入该手机号在 12306 平台添加的常用乘车人信息。目前，某些抢票软件进行了改进，可直接在个人中心页面绑定 12306 账号。

在最近几次回应中，中国铁路也多次提醒广大用户通过官方网站和官方客户端买票，避免非正常渠道购票带来的风险。临近春运，不少用户会通过抢票软件进行购票，请尽量确保自己的账号密码不与其他平台重复，设置多种登录验证方式，比如人证核验、手机验证等，并升级最新客户端以避免此类事件发生。