壞事傳千裏。

　　昨日突然爆出12306泄密事件：一份私下流傳的文件中，包含13萬用戶的賬號、明文密碼、身份證、郵箱、手機號等敏感信息。一時之間，人心惶惶。

　　12306隨後在回應中表示：泄露的用戶信息系經其他網站渠道流出;也即否認與這次泄密有關。這是真的么?如果不是12306又該怪誰呢?

　　所以新浪科技決定，展開一次人肉調查：

　　從昨天下午開始，新浪科技根據泄密信息，隨機抽查訪問了80位有效用戶，一一打電話過去詢問、核實相關情況，並提示對方及時修改12306密碼。

　　首先，我們要確認對方是不是12306的注冊用戶，有沒有使用第三方購票服務。

　　結果顯示在我們調查的80位用戶中，只有11位用戶確認使用過第三方軟件進行過火車票預訂，而絕大部分人使用的還是12306的官方網站或客戶端訂票。進一步，大約90%的受訪用戶表示，最近並沒有登錄過12306網站，也沒有使用過第三方的搶票軟件。

　　從這個抽樣數據來看，很難得出第三方搶票軟件泄密的結論。那么是12306自己的泄密?我們的調查同樣也不支持得到這個結論。

　　不可否認，受訪用戶的手機號碼和姓名都是一一對應的，這份泄密文件的真實度非常高。然而在我們的調查中，有用戶向新浪科技表示，名單泄露的密碼並不是自己最新的密碼。一位用戶明確告訴新浪科技，至少1個月前已修改過密碼。還有5位用戶的手機號碼已經成為空號。

　　這些信息顯示，此次的外泄的用戶信息，肯定不是最新的。

　　還有一位用戶的情況更值得注意。這位用戶的相關信息就在此次12306泄密的文件中，據其回憶從未使用過第三方購票軟件，而且他提供了一個重要的信息：此前“開房門”數據泄密事件時，自己的用戶名和密碼就曾暴露過，而12306的賬戶是那次事件後，他唯一沒有修改密碼的賬戶。

　　基於上述統計信息，我們產生了一個猜想：有黑客拿到之前泄露的賬戶和密碼，到12306上進行登錄測試，如果恰巧用戶使用了同樣的用戶名和密碼，那么黑客就進入到這個賬戶，進而獲得身份證和電話等相關信息。實際上，後來也有其他機構發出同樣的猜想。後面我們會提到。

　　所以，新浪科技根據抽查的樣本，大致能得出這樣幾個結論：

　　1、已經泄密的數據庫絕大部分數據都是真實的。

　　2、數據庫肯定不是最新的。

　　3、這部分數據很可能是有人通過“撞庫攻擊”獲得。也就是利用以前泄露的賬號信息，嘗試登錄12306網站，並最終獲得身份證號碼、手機號等信息。

　　4、泄露的信息規模可能並不大，用戶並不需要恐慌，但是出於安全考慮，還是建議修改一下密碼。

　　在這次的調查中，我們還附帶統計到一些有趣的數據：哪些第三方的購票服務用戶較多。結果顯示80位受訪者中，11個使用過第三方服務，其中：5個使用360提供的火車票購票服務、2個用高鐵管家、2個用獵豹瀏覽器、1個用攜程，1個用去那兒。

　　剛才提到有機構也作出了結論，如下所述。

　　關於12306用戶帳號、密碼等敏感數據信息泄露問題，烏雲方面通過抽查部分帳號驗證後發現確實可以登錄。烏雲官方表示，目前通過白帽子分析，數據疑似黑客撞庫後整理得到而並非12306直接泄漏，請用戶及時修改密碼同時慎用搶票工具。

　　安全公司——知道創宇的安全研究團隊也與新浪科技得出了相同的結論，所謂的12306數據泄露事件實際是“撞庫攻擊”。

　　據報道，知道創宇隨機抽取了一批帳號(約50個)均成功登陸12306，證明了該批數據是准確的;隨機聯系了該批數據中的多個qq用戶，均反饋沒有使用過搶票軟件且近期沒有購票行為;經與群中人員進行交流，普遍認為該批數據為撞庫所得，並不存在12306全部數據。

　　最後，安全人員搜索以往互聯網上的數據進行了匹配，從17173、7k7k、uuu9等網站泄露流傳的數據中搜索到了該批13.15萬條用戶數據，可以確認該批數據全部是通過撞庫獲得。

　　不知道這個結論是否已被官方認可。在昨日新浪科技的調查中，80位用戶中有兩位表示收到過12306提示修改密碼的短信，也就是說大部分用戶沒有得到這個提示。究竟什么樣的用戶能夠得到12306的提示呢?似乎找不到一個恰當的解釋。

　　新浪科技昨天下午致電北京12306客服，在溝通中客服顯然已經知悉此次泄密風波，並對新浪科技表示，所有12306的注冊用戶都會得到修改密碼的提示，並已經委托運營商發送提示短信，用戶收到時間會有不同。顯然，這更像是一個托詞般的解釋。

　　風波過後，值得反思的是，一場不應被高估的泄密事件，為何演變成小小的恐慌?

　　回顧這個事件。烏雲首先爆出漏洞，12306迅速作出回應，指責網上泄露的用戶信息系經其他網站或渠道流出。不僅如此，12306在聲明中建議“不要使用第三方搶票軟件購票，或委托第三方網站購票”，暗示泄露數據的就是第三方搶票軟件或者網站。

　　昨天下午這些第三方軟件紛紛對新浪科技表示無辜中槍。

　　從我們和其他機構的分析來看，似乎的確與第三方無關。由此我們進一步大開腦洞猜想，也許這次的事件，會引發對第三方插件和網站的新一輪監管。一直以來，第三方的火車購票服務就存在爭議，未來究竟會怎樣?一切還不得而知。