12306账號被兜售，到底誰是洩露者？

資料圖 圖片來源：視覺中國

據新京報報導，12月28日上午，有人在網上宣稱12306平台旅客資訊洩露，低價出售60萬账戶資訊、410萬聯繫人數據，還免費公開部分账號供買家驗證。記者隨機驗證了幾個號碼，均成功登錄。對此，12306官方客服表示，平台未發生用戶資訊洩露情況，網絡售賣資訊為旅客登錄第三方平台時洩露。而發布“發現暗網兜售12306账號”資訊的微信公號，刪除文章後發布了“致歉聲明”，稱目前該兜售管道已不存在。

網絡上有人公開售賣12306旅客資訊。 圖片來源：新京報

事實上，早在2014年12月25日，漏洞報告平台烏雲網上，就曾出現一則關於12306的漏洞報告，危害等級顯示為“高”，漏洞類型則是“用戶資料大量洩露”。

當時，各方的回應如出一轍，如12306表示“系經其他網站或管道流出。”而眾多第三方也都紛紛與之切割，如百度回應“百度衛士搶票寶本身就是一款安全軟體……不會出現洩露問題”；攜程回應稱，“此事與攜程沒有任何關係”；360回應稱，“360瀏覽器搶票軟體具有業界最嚴格的安全防護機制，從未發生數據洩露情況”等。

好在，2014年那起洩露事件發生的當晚，鐵路警察將涉嫌竊取並洩露資訊的犯罪嫌疑人抓獲。後來查明，嫌疑人是通過收集某遊戲網站以及其他多個網站洩露的用戶名加密碼資訊，嘗試登錄其他網站進行“撞庫”，從而獲取用戶資訊。也就是說，那些在多個平台用同一账戶和密碼的用戶，基本就這麽一試就“暴露”了。

巧合的是，這兩次事件都趕在春運即將到來、春運搶票開啟的初期，個人資訊的洩露，無異於給準備回家過年的人們心裡，增添更多的焦慮和陰影。

無論如何，這樣的重大洩露事故，都暴露了個人資訊安全藩籬的脆弱。這次12306用戶資訊被兜售，不知道是之前洩露的數據被人再次販賣，還是出現了新的資訊洩露情況。根據既有線索按圖索驥，抓到販賣個人資訊者，顯然很有必要。

中國鐵路總公司對網傳“12306數據疑似洩露”作出回應。 圖片來源：中國鐵路官方微博

但也要看到，責任方不僅僅是幾個直接竊取資訊的犯罪嫌疑人。像2014年那次洩露事件中，最先洩露用戶資訊的遊戲網站和其他網站，其安全性能明顯不合格，需要承擔相應的責任，以及整頓改進自己的平台。正如資訊安全專家說的，“其账號安全體系同樣存在缺陷，才會被黑客利用自動化程式嘗試登錄撞庫。”當被大規模“撞擊”時，相關網站顯然應有較為敏感的“應激反應”，提前預知可能存在的撞擊盜號風險，從而及時開啟預警防備功能，盡量為用戶個人資訊安全護航。

所以，無論是12306，還是一些其他的搶票軟體，都不能因為自己不是洩露的源頭，就高高掛起。最起碼要有“魔高一尺道高一丈”的技術信心和野心，不斷查漏補缺，為用戶建立起更安全更高效的服務平台。俗話說，蒼蠅不叮無縫的蛋，提高“防撞擊”能力，也是改進的方向。

互聯網平台的用戶資訊洩露，幾乎每一次，平台都會提醒用戶及時更改密碼，甚至提倡用戶使用不同的账戶和密碼。但如今，互聯網早已深入大眾生活的方方面面，太多平台的太多账戶，指望用戶都用不同的账戶和密碼，是不現實的。

而從更大的格局講，如果我們的應對措施只能是“讓用戶改密碼”，這其實是把平台的責任轉嫁給用戶，是讓最脆弱的一環承擔起最後的狙擊，怎麽看都有一種無力感和悲壯感。

這次12306账號被兜售事件，無疑再次給個人資訊安全敲響了警鍾。當下是資訊爆炸的時代，也是“資訊即資本，數據即財富”的時代，個人資訊安全到了從未如此凸顯，也從未如此迫切的地步。技術暴露的問題終須技術來解決，我們期望企業和管理部門都能夠擔起責任，讓用戶更加安心。特別是年關之際，開心回家過年的前提終歸也是足夠放心和舒心。

樊成（媒體人）

編輯 孟然 楊林鑫 校對 王心