12306数据泄露原因曝光：手机APP漏洞导致“撞库”

12月26日消息，铁路公安机关昨晚抓获了12306网站泄密事件的2名犯罪嫌疑人，公安证实犯罪嫌疑人采用“撞库”方式非法获取12306的用户数据。据360互联网安全中心披露，12306之所以被撞库，很可能是其手机APP漏洞导致的。360补天漏洞平台发现12306手机APP登陆接口可被黑客恶意利用，无限次尝试撞库破解。360已第一时间将此漏洞通报12306进行修复。

昨天，大量12306用户数据在互联网上售卖传播，包含13万余条账号密码、手机、身份证号、邮箱等私密信息。经中国铁路公安证实，犯罪嫌疑人蒋某某、施某某通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息，尝试登陆12306等其他网站进行“撞库”，非法获取用户信息牟利。

12306网站之所以被黑客“撞库”得手，根本原因是其账号安全体系存在缺陷。补天漏洞平台白帽子发现，12306手机APP的登陆接口存在漏洞，黑客可以轻易绕过其账号安全防护措施，无限次尝试自动登陆。此前网上流传的13万余条12306用户密码都是由黑客“撞库”获取，如此巨大的登陆请求数量，12306都没有及时发现并进行屏蔽。

360已将12306手机APP漏洞通报中国铁路客户服务中心进行修复，而12306数据泄露引发的安全危机仍在持续发酵。据360安全卫士监测，网上已出现木马伪装12306数据包，在网盘、聊天群共享中疯传，建议网友不可轻信下载；此外，12306连曝漏洞，买到火车票的用户尽快取票，当心账户被恶意退票，同时也要警惕假冒铁路工作人员的来电短信，以免遭遇诈骗。