12306 用户信息被叫卖，官方回应为第三方泄漏

（给程序员的那些事加星标）

整合整理：程序员的那些事（ID：IProgrammer）

网传 12306 泄露用户数据

12 月 28 日，有人在暗网发帖叫卖 12306 网站用户数据，数据包含了 60 万账户和 410 万联系人，包括了用户 ID、手机号、明文密码、身份证、邮箱、问题答案等等。价格很低，只需要价值 20 美元的比特币。

此外，发布者公布了 50 名旅客信息，供买家查询验证。

疑似被泄露的 12306 用户数据：

12306 官方回应，第三方泄露

28 日下午，中国铁路总公司官方微博发布信息称，网传信息不实，铁路12306网站未发生用户信息泄漏。提醒广大旅客通过铁路 12306 官方渠道购票，避免非正常渠道购票带来的风险。

28 日傍晚，新京报记者致电 12306 官方客服，其表示网传账号密码等信息为旅客登录第三方平台（非官方购票平台）时泄漏，建议信息被泄漏的旅客及时更改账号、密码，通过官方平台购票。

有网友和记者根据网帖中提供的 50 份用户信息，成功登录了 12306 网站。

总结划一下重点

1. 叫卖帖所涉及的 12306 用户信息，经网友和记者测试应属实；

2. 12306 官方回应是这些信息是第三方泄露的；

3. 被泄露的信息中，有明文密码，还有相应的密保问题及答案；（引出一个问题：为啥第三方渠道会有密保问题和答案）

IT 技术圈的讨论

第三方抢票软件，是需要用户自己填写用户名和密码的，是否要密保问题及答案，我不清楚。我以前一直是在 12306 官网买火车票的，没用过第三方抢票，所以在微博问了一下：

根据用过的网友回复：第三方抢票软件不需要密保。

另外一位网友 black cat 提到的一种可信性：

一旦其他人拿到用户名和密码后，Ta 就能登录 12306，把包括密保问题及答案的所有信息拿走。

@殷迦南：

说一下自己的想法： 1、12306明文密码可能性为0，不可能泄漏明文密码 2、有密保信息的很可能是前几年泄漏的就数据 3、12306如果真泄漏，就不会只是这么一点点 4、第三方泄漏以及被撞库的可能性较大所以基本还是站12306的！

安全圈大佬 @余弦：

据悉，本次疑似 12306 泄露的库，QQ 邮箱占比 74.1%，网易邮箱占比 21.2%，毫无悬念的占比。基本定论是第三方抢票类软件的泄露，而非 12306 自己的泄露。
第三方安全，有的时候，真不是自己可以控制的...

安全圈大佬 @tombkeeper：

那个号称卖 12306 数据的，发布信息时用了新浪的图床。然而新浪图床的 URL 中其实隐含了用户 UID 信息。所以可以根据图片 URL 找到发布图片所用的账号。不过看那个微博内容不太像干黑产的，也许是账号被盗用了。卖库的人手上有很多微博账号也并不奇怪。
从新浪图床 URL 获得发布者微博地址的代码网上有很多例子，这是我见过的最简洁的一个实现，短短十几行处理了两种情况：