25日，12306网站13万条用户个人信息被泄露，昨天事件仍在持续发酵。

网站用户纷纷改密码

“昨天，听说12306网站用户信息泄露，虽然这个账号平时购票很少，最近也没有上网抢春节回家的票，但我还是第一时间修改账号和密码。”南京一家事业单位刘女士说，“毕竟银行卡支付可能因此遇到麻烦，不怕一万只怕万一嘛。”像她这样的用户不在少数。买到火车票的人，不少都选择尽快取票，以免账户被恶意退票。与此同时，网上出现木马伪装12306数据包，在网盘、聊天群共享中疯传。

事件在网络上引起热议。网友“李文雄-尘尘”说：“网站烂、用户体验差也就算了，数据库也这么不安全？这网站可是花了数亿元建的。”网友“飞鱼飞ing”说，“这事儿有什么好喷的？我觉得这次12306纯粹是躺枪。利益和风险是并存的。买不到票就想‘作弊’用第三方插件抢票，那就得承担个人信息泄露的风险。用第三方插件登陆，你账号里存的购票个人信息都会被插件读取到。至于插件会不会记录这些信息并做他用，就只能呵呵了。”

中国互联网协会信用评价中心法律顾问赵占领提醒，我国对个人信息保护的立法刚起步。根据目前法律法规，对由于技术漏洞造成的个人用户信息泄露，既无处罚机制，也无补偿措施。即便个人权益真的遭到侵害，也会陷入举证难、维权难的窘境。“目前，更改密码是最重要的。”

黑客得手暴露12306漏洞

好在25日当晚，两名犯罪嫌疑人便被抓获。中国铁路官方发布消息称，警方已将涉嫌窃取并泄露他人电子信息的犯罪嫌疑人蒋某某、施某某抓获，正是他们，“通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息，尝试登陆其他网站进行‘撞库’，非法获取用户其他信息”，才导致此次事件发生。

如此解释，并未打消人们心中疑问：即便如12306所说，用户个人信息系经其他网站或渠道流出，但“撞库”之所以能成功，被“撞”一方至少在安全防范上存在责任，12306为何对此疏于防范？从2012年起，该网站被披露的漏洞就有四五十个，且不少漏洞之后都持续很久。多达13万条的巨大登陆请求数量，12306为何没有及时发现并进行屏蔽？一般来说，绝大多数漏洞，对重视安全、响应速度快的网站来说，数小时即可快速修复，耗费巨资、关乎亿万人出行的“火车票第一网”为何屡屡反应迟钝？

据知名互联网安全公司360披露，12306之所以被“撞库”，很可能是其手机APP漏洞导致。补天漏洞平台白帽子发现，12306手机APP登陆接口存在漏洞，黑客可轻易绕过其账号安全防护措施，无限次尝试自动登陆。360网站安全总监赵武认为，被黑客“撞库”得手，根本原因是其账号安全体系有缺陷。

前天下午，针对网上流传的13万条用户数据泄露一事，12306网站发布公告证实此事，建议旅客购票要通过12306官方网站，不要使用第三方抢票软件或委托第三方网站购票，防止个人身份信息外泄。不过，随即遭到360、百度、携程等第三方软件提供商的否认。

单独设置重要密码防“撞库”

对于此次事件为何12306方面反应如此迟钝，业内人士分析，由于国内的一些大型系统有可能是采用项目外包的形式，在漏洞修复过程中存在沟通时间较长的情况，或者对漏洞理解不到位的情况，所以时间可能稍微长一点，一般2周之内能够修复。

在12306网站上购过票的人都不难发现，登陆、购票、支付等，并不需要验证，感觉安全级别很低。“但从业务安全角度考虑，用户异地IP登陆等风险情况应加入验证码等安全机制，防止黑客使用自动化工具破解密码。此外，对连续试错密码、大规模登陆请求等异常情况，应对访问IP进行一定时间的屏蔽封锁。”赵武表示。

实际上，对于网站方，采用多重保护措施，减少用户密码泄露，并不难，比如使用双因素验证如引入短信验证码等机制，避免以密码作为单一的验证凭据，就是一种很好的办法，即使用户信息外泄也可以尽可能降低损失。

对网民来说，防范“撞库”的方法是密码一定要分级管理，重要账号单独设置密码，并定期修改密码；对网站来说，对待漏洞不可讳疾忌医，正确的做法是与安全社区合作主动发现、修复漏洞，这样才能避免不必要的损失。其实，从安全角度来说，无论是商业网站还是其他网站，都会面临层出不穷的安全威胁，包括Google、苹果也都无法保证100%安全。“重要的是提升安全意识和加大安全投入，建立完善的风控措施把用户的风险降到最低。”专家建议。