12月28日，12306被曝出疑似包含60余万条用户注册信息和410余万条铁路乘客信息泄露，看雪对此事进行了报道12306恐中招！400万数据遭泄露，请尽快更改密码！

当天，中国铁路发微博称：

“辟谣：网传信息不实，铁路12306网站未发生用户信息泄漏。铁路部门提醒广大旅客，请通过铁路12306官方网站（www.12306.cn）和“铁路12306”客户端（在“铁路12306”字体上方标有路徽和“中国铁路”字样的图标）购票，避免非正常渠道购票带来的风险。”

随后，首都网安总队立刻会同西城分局成立专案组开展工作。经专案组网上侦查、溯源追踪，成功锁定犯罪嫌疑人为我市西城区某科技有限公司员工陈某（男，25岁，河北省邢台市人），后于29日在该公司所在地将其抓获归案。

经讯问，陈某供述60余万条用户注册信息，系其前期在网上非法购买所得，并非通过对12306官方网站技术入侵获取。其余410余万条铁路乘客信息，系其利用上述用户注册信息，通过第三方网络订票平台非法获取。

目前，嫌疑人陈某因涉嫌侵犯公民个人信息罪被西城分局刑事拘留。案件正在进一步审理中。

1. 安全维护不及时

平台为了节约成本等原因，使用相似的源代码进行更改，以至于网站的数据管理模式落后、或存在缺陷。

在这些使用相同源代码的网站中，只要有一个网站被爆出系统漏洞，作案者就可利用该系统漏洞，来获取到其他网站的相关数据。

2. 黑客进行撞库

通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。

很多用户在不同网站，使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户，从而尝试登录B网址，这就可以理解为撞库攻击。

而不少用户隐私意识和数据安全意识不够强，总爱使用同一组用户名和密码，这些数据在一个网站被泄漏后，不法分子便可以通过这些公开的数据，对另一个网站上的数据进行撞库，借此很容易就能获取大量隐私数据。

3. 人为倒卖

服务商们为了针对用户做定制化服务，往往需要在 APP、软件、网站服务的各个环节，获取用户的个人信息。这些数据信息经公司内部人员收集之后倒卖出去，比如支付宝 2013年的用户信息泄密，就是由支付宝的技术员工，下载用户信息之后再倒卖的。

对大多数普通用户来说，并没有能力去制止网站的泄密行为，但在我们的能力范围内，可以采取以下办法，来降低风险：

1. 手机设置密码有讲究

现在的智能手机很多都标配了指纹识别，解锁还是很方便的（图形密码太简单，容易被陌生人瞄到）。

2. 重要网站、App 的密码要独立设置

不要设置简单的数字和单词密码，Password或者123456这种密码，是最容易被黑客破解。与其信任你的记忆，不如信任一个复杂组合密码。

3. 不要在连接公共无线网络时登录账号

连公共WiFi时，账号隐私（如 Cookies）会存在被监听盗取的可能性。这时有个技巧：用浏览器的隐身模式上网即可。   

4. 设置二次验证

不管是邮箱还是社交账号都能够绑定手机号进行二次验证，比如我们最常用的 QQ、微信。这样即便服务商出现漏洞，黑客也无法通过获取的账户信息登录你的账号。

最后，年关了，希望大家都不要遇到这样的糟心事，该买票还是要买票，过年可是大事！

参考来源：

首都网警

CSDN

往期热门资讯：        

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com