嫌犯已被抓，但12306贏得信任還很難

        最新消息，12306 網站用戶信息泄露事件有了最新的進展，據中國鐵路官方微博消息，鐵路公安機關于 2014 年 12 月 25 日晚，將涉嫌竊取并泄露他人電子信息的犯罪嫌疑人抓獲。相對具體的情況是：

鐵路公安機關于 2014 年 12 月 25 日晚，將涉嫌竊取并泄露他人電子信息的犯罪嫌疑人抓獲。經查，嫌疑人蔣某某、施某某通過收集互聯網某游戲網站以及其他多個網站泄露的用戶名加密碼信息，嘗 試登錄其他網站進行“撞庫”，非法獲取用戶的其他信息，并謀取非法利益。

鐵路公安機關提醒廣大旅客，為了保護您的個人電子信息安全，在設置 12306 網站登陸密碼時不要使用在其他網站相同的密碼，并且不要通過第三方網站購票。目前，案件正在審理中。

        這個結果也和昨晚一些網絡安全機構的調查推理結果相類似，這次事件中 12306 網站本身并未被黑客攻破，信息泄露是由黑客手中掌握的先前其他網站用戶數據進行撞庫發生，信息泄露的用戶在其他網站使用了和 12306 網站一樣的帳號密碼。

        佐證“撞庫攻擊”結論的安全機構不止一家，這個結果也比較令人信服。至于中國鐵路公告中的泄露信息的“某游戲網站。其他多個網站”到底為哪幾 家，也有安全機構給出了自己的調查結果。金山毒霸指出的是 17173、開心網，知道創宇指出的是 17173、7k7k、uuu9，其中大多是和游戲相關的。

        所以，在不到兩天的時間里，這個信息泄露事件其實也算是告一段落，泄露原因查明，嫌犯也已經抓到。但是其影響不僅如此。

        在新浪網做的一次調查中，12306 被信任的狀況堪憂：

        原因可想而知，12306 被詬病不是一天兩天，即使這一次的“撞庫攻擊”中，12306 本身沒什么可以指摘的地方，也有相當一大部分的人認為，所謂的游戲網站泄露信息，12306 被撞庫只是替罪羊，12306 還需承擔責任。網站界面丑陋，耗資眾多，買不到票、經常崩潰等情況使得民眾積怨甚深，這種過往過錯使得 12306 的形象并不正面。

        當然，12306 在這次事件中不需要承擔什么責任并不意味著 12306 沒有安全隱患，先前就有消息稱 12306 網站主域名下共有 6 個分站存在嚴重的 Strust2 框架的遠程執行漏洞，黑客可利用該漏洞控制分站服務器，進而攻擊整個 12306 網站，并竊取所有數據庫中的信息。而也有黑客曾經宣布侵入了 12306 的服務器，不過目前還難辨真假。

        所以對于用戶和 12306 而言，這一次更多是虛驚一場，但是漏洞還在，風險也在，互聯網的安全斗爭也從未停止，12306 也遠沒有到安心的時候，作為一個國民必須的網站和服務，做得遠遠不夠。

        題圖系專輯《南北》封面

                <span id="shareA4" class="fl">                         </span> 

</div>