如何看待 2014 年 12 月 25 日網傳 12306 賬號信息泄漏（含明文密碼）一事？

01-25

現在主要有三種猜測：

1、
撞庫

撞庫就是壞人(｀﹏′)黑了A網站，拿到A網站的用戶信息後，再到B網站逐個嘗試登錄。如果碰巧你在兩個網站用同樣的用戶名和密碼註冊，那麼這個壞人就相當於可以無視B網站的防護能力得到你在B網站的登錄信息。從而做更多損你利他的事情。

2、
第三方訂票軟體

從用戶側泄漏、伺服器側泄漏、軟體作者拿著用戶信息主動下海都有可能。

3、12306被脫褲

嗯.............

目前12306官方說了，絕對不是我，第三方是元兇。不過客觀上好像還沒有什麼強證據說明絕對不是通過什麼方式泄漏的。

坊間還傳說有18G（也有說20G）的版本沒有流出，如果真有的話，大概得包含1.6億的用戶，那樣的規模就絕對是12306沒跑了。不過這現在也只是個傳說。

所以我們就改了密碼看熱鬧好了。建議高安全需求的網站和低安全需求的網站使用不同密碼，感覺本身不太靠譜的網站使用獨立密碼。

越寫越困，半昏迷狀態的胡言亂語，歡迎批評指正。

對了，臨睡發個剛才無意中搜到的幾個月前的人民網新聞，我就呵呵一下，不說話。

撞出來的，正好國家可以趁此打擊一下刷票網站。

麻痹拿了個G口伺服器下了一個20G的版本一看是sqlserver我就覺得肯定不是但我還是下了導進去一看結果都是老庫匿了

測試了一下，確實是撞庫造成的。

查詢是否泄漏。

http://blog.eqoe.cn/posts/12306-leak-lookup.html

看了下被泄漏的那些賬號的密碼，大多都是英文+數字這種組合，長度不超過12位，都字母小寫。所以密碼還是設置複雜一點好。這樣安全

特么20G的是葫蘆娃。只有14M的真實。。。不要問我怎麼知道的。

中刀了，和好幾年前天涯的帳號同密碼

火大，各種密碼全改了

奇怪，我的貌似沒泄露啊，怎麼今天Twitter賬號被人改密碼了·····

雖然12306是我認為最破的網站和APP，但是最為鐵道部官方網站，應該不會泄露。而且都是密文的。

自覺信息已經被賣了N次了，多賣幾次讓別人再賺賺錢也算是好事一件。網路安全很重要，但是你的安全交在別人手裡也是沒辦法的事。

這個啊，看上去是泄露，擴散，調查。

但才提交多久？各種大V媒體轉發，往大的搞。細思恐危

此事得到一個教訓，不同網站還是不要用一個密碼的好

我改了之後舊密碼可以登錄，新密碼登陸不上，坐等新聞

1，國安部門介入調查了

2，刷票瀏覽器，插件之類的會被打擊

想買票的抓緊了…

如果伺服器資料庫是以加密過的形式存儲密碼，那麼即使資料庫被黑也幾乎無法得到明文密碼。

我想12306不至於蠢到還在用明文存儲密碼吧，況且在聲明裡也說了是加密存儲的。

所以這次明文密碼信息泄露是12306資料庫被黑導致的可能性極小，而很可能是第三方搶票軟體造成的泄漏，有一些搶票軟體/應用需要用戶提供用戶名和密碼，那為什麼它們不能像12306那樣也加密存儲呢？當然有可能是加密存儲，但是即使是加密存儲也必須是可逆的加密演算法，而不像12306官方的系統那樣只需要單向加密再和資料庫里加密後的密碼域進行比對。所以這些第三方買票軟體要麼明文存儲密碼，要麼採用可逆加密演算法。最後導致明文密碼泄漏的風險是存在的。

這件事導致的後果就是葫蘆娃全集下載量激增，還特么的是高清版

親測，

改過密碼之後無論用新密碼還是舊密碼都登陸不上了。

「這真是一個神奇的網站」。

-------------

完整的過程是：

改完密碼後無法登陸，嘗試四次後賬戶鎖定二十分鐘，之後用新密碼可以登錄。

可見問題是存在的。

-------------

極客公園的報道：（目前已確認為撞庫）

漏洞有待查證，現在自然無甚可說，只是這公告一貼就得讓人說說了。

這公告業餘級了，該網站應由一名合格的發言人出聲，除發言人外不得有任何途徑的聲明，在事故未查清前不要推卸責任或承擔責任，最好不要沾「責任」，除非有權威客觀者查證事實，替你出聲，你漏洞都不知道就撇清自己，還話里話外指向別人，說得太早無法讓人相信，加密數據泄露出明文也很正常，萬一就是內部小團伙做的呢？好比鬥地主，倆王4個2也不能第一把就全炸了，更不應在公眾場合就這麼隨便透露技術細節，畢竟此網還涉及國家安全，這不，一堆小夥伴們開始猜演算法了。

其實此網早就名譽損失巨大，國人心中已經是「錯誤」的代言人了，無所謂是不是你的錯，在眾人心中你已經死了，類似馬走日。我覺得這方面主要在於該企業沒有做好內部控制，沒有做好全面風險評估，至少沒有做好，如果有好的內控體系，有定期可信服的內審和三方審計，有好的IT業務一致性，有基於風險評估基礎上一定程度上的定期信息公示，有做真的BCP，相信不至於此，其實很多事情是名譽和合規問題暴露的，用技術思維是緣木求魚，別人的錯你也背。至於說內幕啊，錢啊，都不是問題。

12306應該不會存儲明文密碼的吧。存儲的都是密文，而且是不可逆的。所以說明文泄露，我覺得是假的。

估計幾個小時內就會有人出來闢謠了，然後賴到各個搶票軟體，然後升級驗證碼，又一遍禁用搶票軟體的熱潮就在眼前了。

看知乎之前的一篇帖子不靠譜的12306網站會像iCloud那樣泄露個人敏感信息嗎？ - 網路安全

shotgun@shotgun

既然拉黑了就不要回復我了吧（我沒法反駁？）？而且有什麼好反覆編輯的（反覆不下3次？）？

請問你的公安信息、學籍、社保等信息是放在機要網？涉密網？政務內網？還是互聯網？

=========================================

關於12306的「泄露」問題：

如果有「明文密碼」，那就基本可以排除是脫褲泄露。甚至不可能是拖庫撞庫。一是12306沒有理由也沒有動力儲存明文密碼。二是13W這個數目實在太小了，如此「大量」的放出沒什麼實際影響力。如不是年終搶票這個特定時期，恐怕沒多少人關心——頂多被某些媒體當做黑12306的佐證罷了。

這件事又一次重申了：趕緊換掉你的弱密碼；一定要將用於社交的、用於交易的和用於其他亂七八糟包括論壇、遊戲、會員等的密碼分開。

僅此而已。

==================

另外，你的身份證、姓名、家庭住址、聯繫電話等信息真不是什麼秘密，也沒有什麼價值，真的！

如果按照這篇博客所說的那樣，12306的用戶密碼是聯通泄露的話，這真是一盤大棋

新上線的鐵道部訂票網也跟上明文的潮流了

這篇博客發表於04/01/2012

剛好知乎也有這個方面的回答

鐵道部訂票網有哪些 BUG ？ - 陳然的回答

儘管不是明文儲存，但是實名認證的情況下還明文傳輸依舊是一件很不安全的事情，相比較犯罪分子去千方百計冒著查水表蹲大獄的危險入侵12306的伺服器但獲得的依舊是加密之後的數據得不償失的做法，不如從傳輸過程入手，本身就不應該採取明文傳輸的方式，雖然https依舊有很多問題，但是數據大規模泄露的可能性還是很低的。

至於是不是中間運營商的問題，坐等警察蜀黍的調查結果吧。。。

水表已拆，沒有快遞。

換成是我的話，我就這樣干！

如何套別人銀行卡的錢

1.銀行卡號

2.手機號

3.身份證號

方法：手機卡複製一張，用銀行卡號登錄網上銀行，修改密碼，然後轉賬即可

如何套現別人信用卡的錢

1.信用卡號

2.手機號

3.身份證號

方法：

1.手機卡複製一張，用信用卡號登錄網上銀行，修改查詢密碼

2.使用POS機刷卡套現即可