12306信息泄露原因查明

楚天金报讯  金报讯（记者杨彦夫）24日爆出的12306网站大量用户私人信息外泄事件，于25日晚间被证实是黑客“撞库”所致。25日晚间，中国铁路官方微博发布消息称，当晚，铁路公安机关将涉嫌窃取并泄露12306网站电子信息的两名犯罪嫌疑人抓获。

经查，嫌疑人蒋某、施某通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息，尝试登录其他网站进行“撞库”，非法获取用户的其他信息，并谋取非法利益。同日，有购买车票的网民反映，因信息泄露，预订的车票被人恶作剧退掉了。目前，案件正在审理中。

据360互联网安全中心披露，12306之所以被“撞库”，很可能是其手机APP漏洞导致的。所谓“撞库”，是黑客通过收集互联网已泄露的用户+密码信息，生成对应的字典表，尝试批量登录其他网站后，得到一系列可以登录的用户信息。

很多用户在不同网站使用的是相同的账号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网站，这就可以理解为“撞库”攻击。

网络安全专家安扬表示，12306网站之所以被“撞库”得手，根本原因是其账号安全体系存在缺陷。12306手机APP的登录接口存在漏洞，黑客可以轻易绕过账号安全防护措施，无限次尝试自动登录。此前网上流传的13万余条12306用户密码都是由黑客“撞库”获取，如此巨大的登录请求数量，12306都没有及时发现并屏蔽。

铁路公安机关提醒广大旅客，在设置12306网站登录密码时，不要使用在其他网站登录的密码。