12306泄漏看这里!60万12306用户信息暗网遭售卖？官方：第三方泄露

新京报(记者罗伊丹李大伟)12月28日在FreeBuf黑客和极客官方微博上表示，12306数据被卖到暗网，其中包括60.12306万网站用户账户数据和410万联系数据。

对此，中国铁路官微称“铁路12306网站未发生用户信息泄露”，但新京报记者随机选取15个遭到泄露的账户发现，有8个账户可以登录，7个账户则处于被锁定状态。有专家推测若确实发生泄露，或因三方抢票软件导致。

新京报记者调查发现，有用户于2018年10月25日在暗网发布名为“12306中国铁路泄露门约60W条低价”的交易帖，帖子内容显示12306泄露的数据包括约60万账户信息，以及每个账户中添加的总计410万联系人信息。其中，账户信息包括用户名、手机号、明文密码、真实姓名、身份证号、邮箱以及问题和答案。而联系人信息则包括联系人的姓名和身份证号。

新京报记者浏览暗网网站交易帖发现，该交易发布者对这部分数据给出了0.00513比特币的销售价格，折合20美元，137.51元人民币。截至12月29日9点44分，该部分数据已经售出33份，共计4537.83元人民币。

28日18点，中国铁路官方微博发布消息称“网传信息不实，铁路12306网站未发生用户信息泄漏”。

但值得注意的是，数据交易者随机公开了50条12306用户数据。新京报记者随机测试了15条用户数据发现，有8个可以顺利登录，7个则因曾重复输错密码而处于被锁定状态。此外，新京报记者随机挑选其中7条数据的电话号码拨打发现，有1个号码为空号，2个号码无法接通，3个号码的机主表示“不是本人”，1个号码的机主确认了身份，并反问记者“泄露了又能怎样呢？”

游侠安全网站长张百川对新京报记者表示，若真发生信息泄露，初步推测是第三方（抢票软件）导致，但在更多数据验证前，还不好说。“值得注意的是，此次泄露的数据中暴露了明文密码，对此可以解释为密码保存在本地可以更好的去网站提交抢票，但与此同时忘记密码的问答也暴露出来了，这说明泄露方没有加密公民的信息。”

12月29日，12306客服专席回复新京报记者称，12306注重保护旅客信息，不会泄露旅客的信息，提醒旅客们从正规渠道购买车票。现在存在很多第三方软件，即不通过正规渠道，而是通过铁路代卖的，这一方式可能会存在信息泄露的问题，12306自身不会泄露任何旅客信息。

新京报记者 罗亦丹 李大伟 编辑 徐超