身陷數(shù)據(jù)洩露事件的12306網(wǎng)站，終於開(kāi)始懸賞徵集漏洞。

　　12月25日，這家被廣泛用於訂購(gòu)火車票的官方網(wǎng)站，被指流出約13萬(wàn)用戶數(shù)據(jù)。其中包括姓名、身份證號(hào)、手機(jī)號(hào)、用戶名、密碼等敏感資訊。

　　儘管鐵路警方調(diào)查宣稱事件由駭客“撞庫(kù)”導(dǎo)致，數(shù)據(jù)並非從12306網(wǎng)站洩露，但12306網(wǎng)站的安全體系仍有完善的空間。

　　誰(shuí)洩露，洩露了多少用戶數(shù)據(jù)？

　　誰(shuí)洩露了用戶數(shù)據(jù)？洩露的數(shù)據(jù)總量有多少？在多位網(wǎng)際網(wǎng)路安全人士看來(lái)，綜合目前消息，極有可能是“撞庫(kù)”導(dǎo)致數(shù)據(jù)洩露，且洩露的數(shù)據(jù)可能不止13萬(wàn)用戶。

　　“撞庫(kù)”是一種駭客攻擊方式。駭客會(huì)收集在網(wǎng)路上已洩露的用戶名、密碼等資訊，之後用技術(shù)手段前往一些網(wǎng)站逐個(gè)“試”著登錄，最終“撞大運(yùn)”地“試”出一些可以登錄的用戶名、密碼。

　　顯然，“撞庫(kù)”成功的一個(gè)前提是，用戶在多家網(wǎng)站註冊(cè)的用戶名、密碼都相同。多位網(wǎng)際網(wǎng)路安全人士經(jīng)過(guò)分析，均認(rèn)為此次事件“應(yīng)該是撞庫(kù)造成的”，“用戶名、密碼都沒(méi)改”。

　　第三方網(wǎng)路安全機(jī)構(gòu)“知道創(chuàng)宇”技術(shù)副總裁余弦告訴中國(guó)青年報(bào)記者，公司研究團(tuán)隊(duì)在幾家網(wǎng)站2012年、2013年洩露的用戶數(shù)據(jù)中抽取50個(gè)作為樣本，與此次13萬(wàn)用戶數(shù)據(jù)進(jìn)行比對(duì)，“匹配度有100%”。

　　“獵豹移動(dòng)”安全專家李鐵軍也表示，他們將前幾年駭客圈流傳出的上億條洩露數(shù)據(jù)進(jìn)行比對(duì)，“絕大部分都是和以往的庫(kù)是重合的”。

　　12月26日，中國(guó)鐵道總公司公開(kāi)證實(shí)了這一點(diǎn)。公司官方微博稱，鐵路公安機(jī)關(guān)於12月25日晚將嫌疑人蔣某某、施某某成功抓獲，嫌疑人通過(guò)手機(jī)網(wǎng)際網(wǎng)路某遊戲網(wǎng)站以及其他多個(gè)網(wǎng)站泄漏的用戶名加密碼資訊，嘗試登陸其他網(wǎng)站進(jìn)行“撞庫(kù)”，非法獲取用戶的其他資訊，並謀取非法利益。

　　不過(guò)，李鐵軍推測(cè)，如果用以往那麼大的數(shù)據(jù)量去“撞”12306網(wǎng)站，從理論上來(lái)説，洩露的數(shù)據(jù)或許不止13萬(wàn)條，“怎麼著也是百萬(wàn)級(jí)別的。可能這13萬(wàn)用戶的數(shù)據(jù)只是在黑色産業(yè)鏈非法交易中的一部分樣本”。

　　“這次只是暴露了其中一部分的數(shù)據(jù)。”北京大學(xué)電腦科學(xué)技術(shù)係教授陳鐘認(rèn)為，“如果沒(méi)有人揭露出來(lái)，公眾、媒體可能也不清楚現(xiàn)在這個(gè)問(wèn)題”。

　　與“撞庫(kù)説”同時(shí)出現(xiàn)的，是對(duì)“搶票軟體洩露數(shù)據(jù)”的猜測(cè)。12月25日，在警方公佈抓獲駭客之前，12306網(wǎng)站發(fā)表聲明稱數(shù)據(jù)係經(jīng)其他網(wǎng)站或渠道流出，並提醒旅客“不要使用第三方搶票軟體購(gòu)票，或委託第三方網(wǎng)站購(gòu)票”，以防止身份資訊外泄。

　　然而，中國(guó)青年報(bào)記者在洩露的13萬(wàn)用戶數(shù)據(jù)中隨機(jī)撥打了18人的電話，共10人接受採(cǎi)訪，他們均表示自己從未使用過(guò)第三方插件購(gòu)票，有的甚至已將近一年未使用該賬號(hào)。

　　李鐵軍分析，一些搶票軟體有“離線搶票”的功能，存在一定風(fēng)險(xiǎn)或隱患。軟體在電腦關(guān)閉之後，依然可以進(jìn)行搶票，這意味著用戶名、密碼都交給了第三方。“這樣的情況下，就增加了風(fēng)險(xiǎn)，當(dāng)然，不能説就一定是他們有問(wèn)題”。

　　他稱，正常的搶票軟體會(huì)遵守12306的規(guī)則，但一些小公司甚至黃牛開(kāi)發(fā)的搶票軟體“任何可能買(mǎi)到票的手段都會(huì)用到”，包括連接速度、破解驗(yàn)證碼的速度。

　　他説，目前網(wǎng)上只公開(kāi)了13萬(wàn)條洩露數(shù)據(jù)，除了撞庫(kù)，是否還有其他原因，有待繼續(xù)分析和警方調(diào)查。

　　陳鐘認(rèn)為，搶票軟體能夠成功搶票，説明系統(tǒng)裏一定有正常的、可以使用的交互過(guò)程，“這裡面可能還有其他方面的博弈，或者説管理上的博弈”。

　　陳鐘強(qiáng)調(diào)，要以事實(shí)為依據(jù)，如果系統(tǒng)存在設(shè)計(jì)或管理缺陷，應(yīng)該加以解決。