新京报讯(记者 罗亦丹 李大伟)12月28日,据FreeBuf黑客与极客官方微博爆料,疑似12306数据在暗网上遭到兜售,这份数据包括60万12306网站用户账户数据以及410万联系人数据。对此,中国铁路官微称“铁路12306网站未发生用户信息泄露”,但新京报记者随机选取15个遭到泄露的账户发现,有8个账户可以登录,7个账户则处于被锁定状态。有专家推测若确实发生泄露,或因三方抢票软件导致。

新京报记者调查发现,有用户于2018年10月25日在暗网发布名为“12306中国铁路泄露门约60W条低价”的交易帖,帖子内容显示12306泄露的数据包括约60万账户信息,以及每个账户中添加的总计410万联系人信息。其中,账户信息包括用户名、手机号、明文密码、真实姓名、身份证号、邮箱以及问题和答案。而联系人信息则包括联系人的姓名和身份证号。

新京报记者浏览暗网网站交易帖发现,该交易发布者对这部分数据给出了0.00513比特币的销售价格,折合20美元,137.51元人民币。截至12月29日9点44分,该部分数据已经售出33份,共计4537.83元人民币。

28日18点,中国铁路官方微博发布消息称“网传信息不实,铁路12306网站未发生用户信息泄漏”。

但值得注意的是,数据交易者随机公开了50条12306用户数据。新京报记者随机测试了15条用户数据发现,有8个可以顺利登录,7个则因曾重复输错密码而处于被锁定状态。此外,新京报记者随机挑选其中7条数据的电话号码拨打发现,有1个号码为空号,2个号码无法接通,3个号码的机主表示“不是本人”,1个号码的机主确认了身份,并反问记者“泄露了又能怎样呢?”

游侠安全网站长张百川对新京报记者表示,若真发生信息泄露,初步推测是第三方(抢票软件)导致,但在更多数据验证前,还不好说。“值得注意的是,此次泄露的数据中暴露了明文密码,对此可以解释为密码保存在本地可以更好的去网站提交抢票,但与此同时忘记密码的问答也暴露出来了,这说明泄露方没有加密公民的信息。”

12月29日,12306客服专席回复新京报记者称,12306注重保护旅客信息,不会泄露旅客的信息,提醒旅客们从正规渠道购买车票。现在存在很多第三方软件,即不通过正规渠道,而是通过铁路代卖的,这一方式可能会存在信息泄露的问题,12306自身不会泄露任何旅客信息。


新京报记者 罗亦丹 李大伟 编辑 徐超