一．事件概述

12月25日上午11时许，漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告，危害等级显示为“高”，漏洞类型则是“用户资料大量泄漏”。这意味着，这个漏洞将有可能导致注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露。据了解，目前大约有14万12306用户数据在互联网上传播售卖，包括用户账号、明文密码、身份证、邮箱等个人信息，尚不清楚是否还有更多用户数据泄露，而泄漏的途径还不知道。

据乌云网报告显示，此漏洞已交由cncert国家互联网应急中心处理。

对此，中国铁路客户服务中心回应称，“经我网站认真核查，此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。目前，公安机关已经介入调查。我网站郑重提醒广大旅客，为保障广大用户的信息安全，请您通过12306官方网站购票，不要使用第三方抢票软件购票，或委托第三方网站购票，以防止您的个人身份信息外泄。同时，我网站提醒广大旅客，部分第三方网站开发的抢票神器中，有捆绑式销售保险功能，请广大旅客注意。”

二．网友热议

官网抢票太难，泄露信息却容易。

@天意他姐：你们弄的网站就是给犯罪分子准备的么？

@老谭家的baby：要是在12306上能买到票，谁还用第三方啊！

@黄胜友微博：还能干什么？抢票太难没戏。泄露密码却很容易！

赶紧去改密码！

@茶独：赶紧去改密码。

@花待葬78：改改改，我刚刚就改了嘿嘿，就是不知道自己的信息泄露了没有。

@木鱼：关注一下。有第三方的软件和APP确实会记录并上传用户密码的，以及离线抢票等需要提交自己用户名密码的服务，用过这些服务的还是尽快改密码吧。这个不好说是哪里的问题。

以后尽量不用第三方软件抢票。

@叫我柳疯子：走正规途径买票！

@ king_done：以后尽量都不要用第三方软件买票了。

@离愁：以后还是不要用第三方软件抢票了，不安全啊，但12306抢不到啊怎么办？

改了密码却登不进去！

@小狗痣多星：密码改了登不上坑爹啊不跟你玩了！

@hjj60：MBD，新密码登录失败，旧密码却可以，坑爹啊。

@文盲跪求我：我也是，提示我修改了然后重新登录的时候新密码上不去还是要旧密码。

用第三方软件导致信息被泄怪谁。

@乌云：基本不可能是12306的问题，最基本的加密保存这点不可能不知道。他要明文也没有用，干嘛做这个死。明显第三方私扣了。不过是谁呢？百度，网易，360？

@田老师的红烧肉：放到过去，就相当于，自己买不到票，隔壁老王说可以帮你买，于是你就放心交付老王了。结果老王出事儿了，他手里的信息丢马路上了。仅此而已。该怪谁挺明显的啊……

@qswang1988：如果是用户把账号密码身份证信息委托给第三方用于抢票的话，那该怪谁呢？12306应该不至于sb到在数据库里明文储存敏感信息吧，不过也没准。

其它观点

@刘洋是只伊卡洛斯：有句话怎么说来着，墙倒众人推。

@挖挖郝评：互联网时代，我们是否还有隐私？

三．安全专家建议

安全专家分析认为，12306数据泄露将有可能衍生以下风险：

1.邮箱被撞库(黑客拿12306泄露的用户名密码去尝试登录邮箱)，更多个人信息因此被盗；

2.因手机号身份证号行程被泄露，骗子可能以退票为借口行骗；

3.因12306的数据实际包含亲友信息，也就是说，除了自己的信息之外，还会泄露亲友的身份信息，可能导致事件的影响面极大；

4.受害者遭遇恶作剧，预订的火车票被恶意退票。

 建议：

1.立刻修改12306登录密码

2.尽快修改登录12306时使用的邮箱密码，邮箱服务和12306网站服务一定不要使用相同的登录密码。

3.切勿使用离线抢票功能。因为离线抢票就是第三方服务托管服务，必须明文存密码，且没法加密。所以一旦泄露就是明文。明文密码即未加密的原始密码，拿到这个密码就能登录别人的12306后台，实现所有功能。如用户设置的12306网站密码为123456，那么黑客拿到的数据库里，就会完整的显示出该用户的姓名和身份证号码，黑客便可以操纵该用户的12306账号进行买票、退票等操作。