12月25日上午,漏洞平台乌云发表一篇题为《大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等(泄漏途径目前未知)》的帖子,声称12306大量数据泄漏。
随后12306官方网站公布如上截图,确认泄漏属实,但不是官方流出。据安全行业人士分析,数据基本确认为黑客通过“撞库攻击”所获得。
黑客获取数据主要有三种方式:直接攻击网站、散播刷票软件等木马程序以及上述的撞库攻击。前两种攻击方式属于技术流,而撞库攻击则相对低级,却有着惊人的效果,原理很简单,使用A站的帐号密码在B站进行登录尝试,这对于大部分使用同一组帐号密码的互联网用户来说是灾难性的。
12306在公告中强调,公安机关已经介入调查此事。但对于普通用户,应尽快修改12306的密码,并且尽可能让自己在不同网站、APP使用不同的密码帐号组合。