身陷数据泄露事件的12306网站，终于开始悬赏征集漏洞。

12月25日，这家被广泛用于订购火车票的官方网站，被指流出约13万用户数据。其中包括姓名、身份证号、手机号、用户名、密码等敏感信息。

尽管铁路警方调查宣称事件由黑客“撞库”导致，数据并非从12306网站泄露，但12306网站的安全体系仍有完善的空间。

谁泄露，泄露了多少用户数据？

谁泄露了用户数据？泄露的数据总量有多少？在多位互联网安全人士看来，综合目前消息，极有可能是“撞库”导致数据泄露，且泄露的数据可能不止13万用户。

“撞库”是一种黑客攻击方式。黑客会收集在网络上已泄露的用户名、密码等信息，之后用技术手段前往一些网站逐个“试”着登录，最终“撞大运”地“试”出一些可以登录的用户名、密码。

显然，“撞库”成功的一个前提是，用户在多家网站注册的用户名、密码都相同。多位互联网安全人士经过分析，均认为此次事件“应该是撞库造成的”，“用户名、密码都没改”。

第三方网络安全机构“知道创宇”技术副总裁余弦告诉中国青年报记者，公司研究团队在几家网站2012年、2013年泄露的用户数据中抽取50个作为样本，与此次13万用户数据进行比对，“匹配度有100%”。

“猎豹移动”安全专家李铁军也表示，他们将前几年黑客圈流传出的上亿条泄露数据进行比对，“绝大部分都是和以往的库是重合的”。

12月26日，中国铁道总公司公开证实了这一点。公司官方微博称，铁路公安机关于12月25日晚将嫌疑人蒋某某、施某某成功抓获，嫌疑人通过手机互联网某游戏网站以及其他多个网站泄漏的用户名加密码信息，尝试登陆其他网站进行“撞库”，非法获取用户的其他信息，并谋取非法利益。

不过，李铁军推测，如果用以往那么大的数据量去“撞”12306网站，从理论上来说，泄露的数据或许不止13万条，“怎么着也是百万级别的。可能这13万用户的数据只是在黑色产业链非法交易中的一部分样本”。

“这次只是暴露了其中一部分的数据。”北京大学计算机科学技术系教授陈钟认为，“如果没有人揭露出来，公众、媒体可能也不清楚现在这个问题”。

与“撞库说”同时出现的，是对“抢票软件泄露数据”的猜测。12月25日，在警方公布抓获黑客之前，12306网站发表声明称数据系经其他网站或渠道流出，并提醒旅客“不要使用第三方抢票软件购票，或委托第三方网站购票”，以防止身份信息外泄。

然而，中国青年报记者在泄露的13万用户数据中随机拨打了18人的电话，共10人接受采访，他们均表示自己从未使用过第三方插件购票，有的甚至已将近一年未使用该账号。

李铁军分析，一些抢票软件有“离线抢票”的功能，存在一定风险或隐患。软件在电脑关闭之后，依然可以进行抢票，这意味着用户名、密码都交给了第三方。“这样的情况下，就增加了风险，当然，不能说就一定是他们有问题”。

他称，正常的抢票软件会遵守12306的规则，但一些小公司甚至黄牛开发的抢票软件“任何可能买到票的手段都会用到”，包括连接速度、破解验证码的速度。

他说，目前网上只公开了13万条泄露数据，除了撞库，是否还有其他原因，有待继续分析和警方调查。

陈钟认为，抢票软件能够成功抢票，说明系统里一定有正常的、可以使用的交互过程，“这里面可能还有其他方面的博弈，或者说管理上的博弈”。

陈钟强调，要以事实为依据，如果系统存在设计或管理缺陷，应该加以解决。

12306可填补哪些漏洞？

此次事件之前，在国内漏洞报告平台“乌云网”，12306网站2011年以来被网友指出约60处漏洞。其中，“验证码”问题是屡受诟病的漏洞之一。

验证码是用户登录时的一道关卡，只有用户名、密码、验证码都正确才可正常登录。如果验证码措施得当，即使黑客程序掌握了用户名、密码，“试”出其正确性的难度也大大增加。

余弦告诉中国青年报记者，在此次“撞库”事件中，12306存在易被“撞库”攻击的接口，该接口没做好安全防御，“原则上应该做好防御，比如，限制一个IP对这个接口的请求频率，超过一定频率或次数就应该采用验证码措施或屏蔽措施。”

知道创宇公司并非类似问题的唯一提出者。2014年1月，面对多位网友长期的漏洞提示，12306网站的厂商“中国铁道科学研究院”在乌云网答复网友“debbbbie”时坦言，“关于验证码的事情大家已经说得太多了，让你们受累”。

而在2013年12月，厂商在乌云网答复《12306弱验证码可被轻松识别》时还称，验证码搞复杂了，机器和用户都不好认，为了用户体验，公司选择简单验证码。