12月25日上午,有网友在第三方互联网漏洞平台“乌云”发帖称,大量铁路12306网站的用户信息被泄露,包括账号、明文密码等。12月26日上午,中国铁路总公司通过其官方微博“中国铁路”发布消息称,铁路公安机关挡获了此次事件中,涉嫌窃取并泄露他人电子信息的两人。相关用户信息是二人在其他网站套取获得,并非12306网站泄露。
13万余用户信息泄露
26日,“中国铁路”发布消息:铁路公安机关于2014年12月25日晚,将涉嫌窃取并泄露他人电子信息的犯罪嫌疑人抓获。经查,嫌疑人蒋某某、施某某通过收集互联网某游戏网站及其他多个网站泄露的用户名加密码信息,尝试登录其他网站“撞库”,非法获取用户的其他信息,并谋取非法利益。
同时,该公告还提醒广大旅客,为了保护个人电子信息安全,在设置12306网站登录密码时不要使用其他网站相关的密码,并且不要通过第三方网站购票。
“撞库是一个黑客的术语。就是黑客利用从A处得到的登录密码信息,批量去其他各个网站上尝试登录,如果相符合,就算撞库成功。”某知名互联网企业的安全专家说,撞库是利用互联网进行违法犯罪行为中比较常见的手法,“所以要避免上网密码过于单一。”
另一方面,该专家也提出了质疑,此前网上流传的13万余条12306用户密码都是由黑客“撞库”获取,面对如此巨大的登录请求数量,12306竟然都没有及时发现并进行屏蔽。
不能买行程冲突车票
25日,铁路12306网站发布公告,公告显示,铁路公安机关于近日破获多起利用他人身份信息在网上囤票倒票案件,不法分子谋取非法利益,同时造成部分旅客因身份信息被冒用而无法正常购票。自12月26日起,将实施新的购票举措,以维护正常的购票秩序,保障广大旅客的出行。
记者梳理公告内容后发现,最大的改变是从12月26日开始,售票系统将不接受行程冲突的购票。26日下午,记者登录铁路12306网站,以本人身份证购买了一张明年2月10日早上7点前往重庆的车票,付款后,再次以相同的身份证号尝试订购当天同时段前往上海的车票,结果系统提示订票失败,只能将已购车票办理改签,或办理退票后重新购票。
随后,记者在不退订10日车票的情况下,尝试购买2月11日早上7点前往重庆的车票,结果显示购票成功,这就意味着,此前部分旅客因不确定放假日期采取的囤票策略并未受到影响。