60萬12306用戶信息被賣 經驗證部分帳戶可登錄

原標題:60萬12306用戶信息被賣 經驗證部分帳戶可登錄

新京報訊(記者 羅亦丹 李大偉)12月28日,據FreeBuf黑客與極客官方微博爆料,疑似12306數據在暗網上遭到兜售,這份數據包括60萬12306網站用戶帳戶數據以及410萬聯繫人數據。對此,中國鐵路官微稱「鐵路12306網站未發生用戶信息泄露」,但新京報記者隨機選取15個遭到泄露的帳戶發現,有8個帳戶可以登錄,7個帳戶則處於被鎖定狀態。有專家推測若確實發生泄露,或因三方搶票軟件導致。

新京報記者調查發現,有用戶於2018年10月25日在暗網發布名為「12306中國鐵路泄露門約60W條低價」的交易帖,帖子內容顯示12306泄露的數據包括約60萬帳戶信息,以及每個帳戶中添加的總計410萬聯繫人信息。其中,帳戶信息包括用戶名、手機號、明文密碼、真實姓名、身份證號、郵箱以及問題和答案。而聯繫人信息則包括聯繫人的姓名和身份證號。

新京報記者瀏覽暗網網站交易帖發現,該交易發布者對這部分數據給出了0.00513比特幣的銷售價格,折合20美元,137.51元人民幣。截至12月29日9點44分,該部分數據已經售出33份,共計4537.83元人民幣。

28日18點,中國鐵路官方微博發布消息稱「網傳信息不實,鐵路12306網站未發生用戶信息泄漏」。

但值得注意的是,數據交易者隨機公開了50條12306用戶數據。新京報記者隨機測試了15條用戶數據發現,有8個可以順利登錄,7個則因曾重復輸錯密碼而處於被鎖定狀態。此外,新京報記者隨機挑選其中7條數據的電話號碼撥打發現,有1個號碼為空號,2個號碼無法接通,3個號碼的機主表示「不是本人」,1個號碼的機主確認了身份,並反問記者「泄露了又能怎樣呢?」

遊俠安全網站長張百川對新京報記者表示,若真發生信息泄露,初步推測是第三方(搶票軟件)導致,但在更多數據驗證前,還不好說。「值得注意的是,此次泄露的數據中暴露了明文密碼,對此可以解釋為密碼保存在本地可以更好的去網站提交搶票,但與此同時忘記密碼的問答也暴露出來了,這說明泄露方沒有加密公民的信息。」

12月29日,12306客服專席回復新京報記者稱,12306注重保護旅客信息,不會泄露旅客的信息,提醒旅客們從正規管道購買車票。現在存在很多第三方軟件,即不通過正規管道,而是通過鐵路代賣的,這一方式可能會存在信息泄露的問題,12306自身不會泄露任何旅客信息。