12月25日，當人們還沉浸在圣誕的喜悅中無法自拔的時候，烏云漏洞平臺率先爆出大量12306用戶數據泄露，有公安部門介入調查，已知公開泄露的數據庫及用戶數已經超過了13萬條。隨后12306通過微信等多個渠道表示，“泄露信息全部含有用戶明文密碼。我網站數據庫所有用戶密碼均為多次加密的非明文轉換碼，網上泄露的用戶信息系經其他網站或渠道流出。”

然而數據泄露誰之過？隨著12306的官方聲明“事不關己”和攜程發表的聲明“與我無關”，那么數據怎么泄露的？12306的安全機制在哪里？

還原真相：

當此事發生后，記者***時間連線烏云平臺的相關負責人，據悉，本次漏洞爆出實屬偶然。一名白帽子在自己的圈子里突然發現了大量數據，隨后通過驗證均無一例外均可登錄，因此才給了整個安全屆這昂貴的“圣誕禮物”。

此次事件造成恐慌的原因在51CTO記者看來，有一個非常關鍵的地方：明文的數據庫，這其實意味著，所泄露的數據庫沒有做審計和數據庫隔離，并且沒有做數據庫關鍵字段的加密，因此導致泄露的所有信息都是明文的，這非常可怕。

事實上，今天被曝出的12306數據庫，能夠看到明文的有13萬條左右，大概14M左右。以下為51CTO記者頗費周折得到的數據信息，圖片經過處理，如下：

明文數據庫

部分泄露的數據

據知道創宇公司的“Evi1m0”說：在三個小時內，已經“傳”出各種有關數據庫大小的版本：14M、18G、20G、37G。“Evi1m0”說，其實明眼人還是很多的，當然你說個138G讓“大V”推推，也是能成為傳露：目前還無法確認此次事件是從12306官網直接泄露的，但是通過一些白帽子的集體調查結果顯示似乎更像是通過撞庫得到的數據，但是被人惡意提取并整理了該平臺上的用戶身份等信息。

但是這下午三點，已經正式確認12306用戶數據泄露是由撞庫（利用現有互聯網泄露數據庫，進行密碼碰撞）導致，并非12306以及第三方搶票泄露。也更加證實了白帽子們的調查結果

其實這類事情，每天都在發生。那么我們脆弱的密碼和安全保護意識真的無能為力么？

避免“脫褲”的方法

OWASP中國北京主負責人子明告訴記者，其實是有辦法改變這種“脫褲”悲劇的。他介紹說：現在我們都是將個人信息和密碼等重要敏感數據放在服務器里，無論怎么加密，如何處理，只要黑客能夠成功提權，如提取數據庫權限，就非常容易泄露敏感信息，這是很無奈的事情，但換個思路，如果把密碼和敏感數據放在自己手里，要拿到破解就非常難，因為你的密碼和敏感數據硬件化了，與你自己的終端設備綁定，動態的二維碼認證加密，就避免了數據集中的情況，這顯然是一條未來可能會受到業界關注和認可的方案，而且現在國內已經有公司這樣做了。#p#

蕓蕓眾聲：

另外，也有對此事持不同意見的網友，ID為“shotgun”的網友在知乎上表示：我之所以說目前這個流出來的庫沒太大價值，是因為所有評價社工庫質量和數量的都是基于去重（去掉重復的數據）后的，現在這個庫既然是撞庫出來的（用現有的庫里的賬號密碼去嘗試新的網站），那就等于只是驗證了有十三萬人在某些網站和12306上使用了相同的密碼而已。

51CTO.com記者發現，ID為“李海”的網友對于這次12306泄露用戶賬號信息分析了三種原因：

◆悲觀論：由于12306有21個分站www.12306.cn-子域名查詢--查詢啦，可能是某個分站存在SQL注入或者Getshell漏洞，導致黑客直接脫褲，但是這樣脫褲下來的用戶密碼應該是加密的，黑客可能是通過MD5逆向查找還原得到密碼。烏云也有這樣的先例，比如12306分站命令執行(可getshell)

◆無良論：某些“無良”廠家的搶票軟件存在問題。比如，把本應該只是用戶本地存儲的12306登陸賬號信息，發送到自己啊服務器，而自家服務器安全性能過低，黑客端了“無良”廠家的服務器進而獲得了所有存儲著的12306賬號信息。

◆偶然論：純粹的利用之前泄露的大量用戶名、密碼進行撞庫。這個前提是找到了12306不需要驗證碼驗證用戶賬號的接口。

該網友認為第二種可能性更大，危害性也更廣，因為要是因為***種原因造成的賬號泄露，那么只要你的密碼足夠復雜而且沒有泄露過，那么黑客最多只能得到你密碼加密后的密文，無法找到密碼明文是什么。此外，該網友表示沒用過搶票軟件，他的12306賬號密碼是獨立的（不同于他在其他網站使用的密碼），也沒有泄露過，所以我就不改密碼了。

12306的事件這段事件肯定還會繼續，51CTO也將持續關注事件發展，***時間給大家帶來更有價值的新聞和技術內容。