12306未發布"泄密查詢" 專家建議盡快修改登陸密碼

原標題：12306未發布“泄密查詢”專家建議盡快修改登陸密碼

央廣網北京12月27日消息（記者丁飛 劉玉蕾）據中國之聲《新聞縱橫》報道，連著幾天為搶票頭暈腦脹的“春運族”們都知道，今天是個大日子，因為大年初六的返程票要開售了。不過，為了進一步打擊利用他人身份信息囤票倒票的現象，鐵路12306再度發布新政，從昨天起，如果旅客發現身份被冒用，可以隨時舉報。新舉措該怎麼來理解？

正所謂“魔高一尺、道高一丈”。為了繼續打擊黃牛倒票囤票，鐵路部門再推新政，售票系統不再接受行程沖突的購票。於是連日裡爭相購買返程票的老百姓要搞清楚的第一個問題就是，什麼算“行程沖突”呢？12306客服解釋說，同一乘車人的乘車時間出現交叉，是不行的：

12306：打個比方，您買了一張今天早上8點發的車，下午2點到。您再想買一張今天上午9點發的車，就買不了了。同一趟車，從上車到下車這段時間內，您就不能再買別的車了。

也就是說，兩趟車的時間不能有交集。那麼，在列車中途下車，中轉到另一趟車的旅客，算不算違規呢？

12306：中轉那種不算“沖突”，是按您的車票票面時間，那時間上肯定不能沖突啊。比如您從北京到天津，再從天津中轉去滄州。從北京到天津的點，是中午12點，您買天津到滄州不能買11點的對吧？

一人一張身份証，同一個身份証不可能同時出現在兩輛車上。很顯然，這是為了打擊身份冒用，打擊囤票倒票。如果行程沖突，必須要先把前面的票退了或改簽，再重現買票。如果發現身份信息被冒用，必須要先舉報才能繼續購票。那麼，怎樣才能發現有沒有被冒用呢？

12306：您要是自己沒買過，然后一直提示“沖突”，那就是被冒用信息了。自己買過就別舉報了，舉報把您自己舉報了。

記者：為什麼不能直接封了它必須要舉報？

12306：現在好多個賬號給一個人買票的情況還是很多的，您看您這賬號買了一張，您朋友也給您買了一張，我們不能直接把他給封了對吧。舉報了我們再去調查。

我們再來比較一下，新的措施和之前的不同。此前，根據實名制網上購票規定，一張身份証在同一天、同一個車次隻能買一張票，但在同一天買不同車次的票，是可以的。對此12306曾經表示，這種“囤票”不違規。而現在，時間沖突的票是買不了的，可以看出，新規是對此前政策的一次矯正。矯正過后是不是就沒有問題了呢？對此，乘客高先生也表達了他的困擾。

乘客高先生：對我來說肯定沒有之前方便，原來想的是有一張保底了，再搶一張黃金時間的肯定會更好一些，這樣的話比我買到不是特別滿意的票之后，原來我還有辦法調整，比如說我老家在南京，我回老家的時候有時候就會買不到回南京的票，我就提前買一張去上海的票，但我用時會不斷的嘗試買一張回南京的票，因為那樣的話不會浪費很多的錢，但是如果現在有這個所謂沖突機制出來的話，我買了去上海的票，在同一時段，在當天可能我就沒法再買一張去南京的票了，就會浪費一些錢吧，對我來說就造成一些不方便。

新政昨天發布，這個時間點很容易讓人聯想到最近炒的沸沸揚揚的“13萬用戶信息泄露”的新聞。根據鐵路公安部門發布的最新消息，已經於前天晚上將涉嫌竊取並泄露他人電子信息的犯罪嫌疑人蔣某某、施某某抓獲。兩人通過收集互聯網某游戲網站以及其他多個網站泄露的用戶名加密碼信息，嘗試登陸其他網站進行“撞庫”，非法獲取用戶的其他信息，並謀取非法利益。

這裡說的“撞庫”，就是拿別的地方泄露的用戶信息，去試，看看能不能登陸到12306上。不過這件發生在聖誕節當天的信息泄露案似乎並沒有結束。360公司昨天告訴中國之聲，12306手機APP確存在安全隱患。

從上午11點發現信息泄露，到晚上抓到兩名犯罪嫌疑人，隻用了不到一天。根據鐵路公安機關發布的最新消息，事件基本可以還原為，先收集其他網站泄露出的用戶名和密碼，再通過撞庫，嘗試能否進入12306。這個事實可以得出兩個結論：第一，用戶信息並不是12306直接泄露的﹔第二，受害者大多是僅靠一套用戶名和密碼“走天下”。

事件並沒有就此結束。360補天漏洞平台經過進一步檢測發現，12306手機APP存在漏洞，才可能導致自動化撞庫得以實現。

360安全專家趙武：為什麼黑客能撞庫成功？就在於它沒有針對這個撞庫行為進行一個攔截和識別。就是它沒有做驗証碼或二次驗証，隻要你用戶名和密碼對了，它就可以登錄成功。

按這個邏輯，有驗証環節，就隻能手工輸入甚至被攔截﹔沒有驗証，就可以批量掃庫，進而導致高達13萬用戶數據被瘋狂轉載的狀況：

趙武：就比如說我要是有個驗証碼，或者短信確認，那黑客就沒有辦法自動化確認了，他就隻能一個一個去試，成本高收益也很低。但如果用自動化工具跑1000萬，我可能一天就跑完了。

目前，360已經將漏洞通報12306，案件也正在審理中。網友們在焦急搶票的同時，也在圍觀坐等結果。不過，既然我們隻有這一個網上購票渠道，希望它能最大程度地，保証安全。

針對此次泄露事件，安全專家建議用戶可採取以下措施避免安全隱患：首先，迅速修改12306網站登錄密碼﹔由於新密碼同步到所有服務器需要時間，部分用戶修改密碼后，或不能立刻登錄﹔另外，及時修改12306網站注冊郵箱密碼，郵箱密碼與12306網站登錄密碼盡量不要一樣。

同時，注冊過12306的用戶還要注意，泄露的用戶信息以及親友信息很有可能被不法分子利用，用戶會在未來可能收到不少詐騙電話。建議用戶在處理與銀行轉賬匯款業務時務必要電話確認身份，謹防電信詐騙﹔訂票的時候，切勿使用離線搶票功能。因為離線搶票就是第三方服務托管服務，必須明文存密碼，且沒法加密，所以一旦泄露就是明文密碼。

另外，12306網站信息泄露被曝光后，網上出現許多12306網站信息泄露查詢頁面，制作署名為鐵道網或鐵道論壇。經証實，12306沒有發布過類似網站頁面，也並未發布泄密查詢。安全專家也提醒，非官方查詢頁面可能會非法捕捉用戶信息，甚至可能加載木馬，入侵個人電腦和手機終端，更容易造成個人信息泄露。

(來源:中國廣播網)