12306禁售行程冲突票：严打黄牛党囤票倒票行为

25日，大量12306用户数据在互联网疯传，包括用户账号、明文密码等。26日，12306铁路客服中心发布公告，称铁路公安机关破获多起利用他人身份信息在网上囤票倒票的案件，即日起售票系统将不接受行程冲突的购票。
　　乌云报告>> 12306用户数据泄露涉13万人
　　25日上午，漏洞报告平台乌云网出现了一则关于12306的漏洞报告，危害等级显示为“高”，漏洞类型为“用户资料大量泄漏”。这意味着，这个漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露。而猎豹官方微博信息显示，已有旅客反映，从12306官方网站购买的车票被退票了!
　　这批数据涉及用户约13万。12306随后回应，经查，网上泄露的用户信息系经其他网站或渠道流出。
　　公安介入>> 两“撞库”窃取信息嫌疑人被抓
　　25日晚，铁路公安机关将涉嫌窃取并泄露12306数据的犯罪嫌疑人抓获。经查，嫌疑人蒋某某、施某某通过收集某游戏网站以及其他多个网站泄露的用户名加密码信息，尝试登录其他网站进行“撞库”，非法获取用户的其他信息，谋取非法利益。
　　所谓“撞库”，是指黑客通过收集各网站已泄露的用户名及密码信息，生成庞大的密码库，然后到其他网站尝试用自动化工具批量登录，得到一批可以使用相同账号及密码的数据。
　　12306发声>> 不再卖行程冲突车票
　　26日，12306铁路客服中心发布公告，称即日起售票系统将不接受行程冲突的购票，如果旅客再次购票时被提示与前次购票行程冲突，要已购车票办理改签或退票后重新购票。旅客网上购票，发现身份信息被他人冒用购票，造成行程冲突(指同一乘车人的乘车时间出现交叉)不能购票时，可在互联网上举报后继续购票。在车站窗口、代售点等渠道购票时，发现身份信息被他人冒用购票，造成行程冲突不能购票的，可到就近车站指定窗口举报后继续购票。
　　12306网站还提醒旅客：“请通过12306官方网站购票，不要使用第三方抢票软件购票，以防止个人身份信息外泄。”不过，抢票软件纷纷否认泄密和自己有关。专家还建议，网友立刻修改12306登录密码。
　　马上落地济南未发现大面积退票情况
　　因为12306上的注册信息泄漏，有人预测可能出现大面积恶意退票的情况发生。26日记者了解到，包括济南火车站、济南东站和济南西站在内的各火车都没有出行大面积异常退票的情况。退改签情况稳定。 (记者尹爽)专家声音
　　12306账号安全体系存在缺陷
　　多位安全专家认为，12306账号安全体系存在缺陷，才会被黑客利用自动化程序尝试登录“撞库”。
　　猎豹移动安全专家李铁军称，成熟的网站都会在用户登陆时设置两步验证程序。“登录不能仅靠账户和密码，像苹果iCloud、谷歌、微软都设置了动态密码的验证程序，多一层保护。国内很多网站为了节省成本，并没有设置这一道程序。”目前并不清楚，此次漏洞是否与验证程序设置有关。
　　中国政法大学传播法研究中心研究员朱巍称，如果12306是出于过失导致信息泄露，司法实践中会采用过错推定原则确定侵权责任，“即先推定12306存在过错，然后由12306举证，证明自己尽到了安保责任”。
　　历史回顾这些年12306出过的漏洞
　　2012年至今，在乌云网上，关于12306网站被披露的漏洞接近50个，其中涉及用户资料泄漏和敏感信息泄露的漏洞占7%，还有44%的漏洞可间接导致信息泄漏。
　　比如2014年7月，12306被曝安全漏洞。如果黄牛破解该漏洞，一个人就可以将全车厢的票买下来。12306之后确认漏洞存在，但称正在解决。早前，微信上一则“12306购票可选上下铺”的攻略被疯狂转发。12306称，该漏洞已被修复。

还有一些漏洞持续了很长时间。12306提供的根证书“SRCA”(中铁CA)，这是其自行发布的证书，其采用的加密方式在4年前已被微软认定为“不安全”。这个情况从12306上线持续至今，但12306从不对此问题进行回应。
　　2014年1月，12306被发现使用假身份证可以订票。12306称，该网站对身份证号信息没有审核环节。直到3月，网站才启用身份信息核验。
　　(本版稿件除署名外综合新华社、《新京报》、澎湃新闻等)