12306信息泄露专题之12306账号被兜售，到底谁是泄露者？

数据图图片源：视觉中国

据《新京报》报道，12月28日上午，12306平台旅客信息泄露、低价销售60万账户信息、销售410万联系人数据、免费公开部分账户以供买家验证。

记者随机验证了几个号码，均成功登录。对此，12306官方客服表示，平台未发生用户信息泄露情况，网络售卖信息为旅客登录第三方平台时泄露。而发布“发现暗网兜售12306账号”信息的微信公号，删除文章后发布了“致歉声明”，称目前该兜售渠道已不存在。

网络上有人公开售卖12306旅客信息。 图片来源：新京报

事实上，早在2014年12月25日，漏洞报告平台乌云网上，就曾出现一则关于12306的漏洞报告，危害等级显示为“高”，漏洞类型则是“用户资料大量泄露”。

当时，各方的回应如出一辙，如12306表示“系经其他网站或渠道流出。”而众多第三方也都纷纷与之切割，如百度回应“百度卫士抢票宝本身就是一款安全软件……不会出现泄露问题”；携程回应称，“此事与携程没有任何关系”；360回应称，“360浏览器抢票软件具有业界最严格的安全防护机制，从未发生数据泄露情况”等。

好在，2014年那起泄露事件发生的当晚，铁路公安将涉嫌窃取并泄露信息的犯罪嫌疑人抓获。后来查明，嫌疑人是通过收集某游戏网站以及其他多个网站泄露的用户名加密码信息，尝试登录其他网站进行“撞库”，从而获取用户信息。也就是说，那些在多个平台用同一账户和密码的用户，基本就这么一试就“暴露”了。

巧合的是，这两次事件都赶在春运即将到来、春运抢票开启的初期，个人信息的泄露，无异于给准备回家过年的人们心里，增添更多的焦虑和阴影。

无论如何，这样的重大泄露事故，都暴露了个人信息安全藩篱的脆弱。这次12306用户信息被兜售，不知道是之前泄露的数据被人再次贩卖，还是出现了新的信息泄露情况。根据既有线索按图索骥，抓到贩卖个人信息者，显然很有必要。

中国铁路总公司对网传“12306数据疑似泄露”作出回应。 图片来源：中国铁路官方微博

但也要看到，责任方不仅仅是几个直接窃取信息的犯罪嫌疑人。像2014年那次泄露事件中，最先泄露用户信息的游戏网站和其他网站，其安全性能明显不合格，需要承担相应的责任，以及整顿改进自己的平台。正如信息安全专家说的，“其账号安全体系同样存在缺陷，才会被黑客利用自动化程序尝试登录撞库。”当被大规模“撞击”时，相关网站显然应有较为敏感的“应激反应”，提前预知可能存在的撞击盗号风险，从而及时开启预警防备功能，尽量为用户个人信息安全护航。

所以，无论是12306，还是一些其他的抢票软件，都不能因为自己不是泄露的源头，就高高挂起。最起码要有“魔高一尺道高一丈”的技术信心和野心，不断查漏补缺，为用户建立起更安全更高效的服务平台。俗话说，苍蝇不叮无缝的蛋，提高“防撞击”能力，也是改进的方向。

互联网平台的用户信息泄露，几乎每一次，平台都会提醒用户及时更改密码，甚至提倡用户使用不同的账户和密码。但如今，互联网早已深入大众生活的方方面面，太多平台的太多账户，指望用户都用不同的账户和密码，是不现实的。

而从更大的格局讲，如果我们的应对措施只能是“让用户改密码”，这其实是把平台的责任转嫁给用户，是让最脆弱的一环承担起最后的狙击，怎么看都有一种无力感和悲壮感。

这次12306账号被兜售事件，无疑再次给个人信息安全敲响了警钟。当下是信息爆炸的时代，也是“信息即资本，数据即财富”的时代，个人信息安全到了从未如此凸显，也从未如此迫切的地步。技术暴露的问题终须技术来解决，我们期望企业和管理部门都能够担起责任，让用户更加安心。特别是年关之际，开心回家过年的前提终归也是足够放心和舒心。

□樊成（媒体人）

编辑 孟然 杨林鑫 校对 王心