【明報專訊】據內地媒體報道，第三方漏洞報告平台烏雲昨日曝出鐵路訂票12306網站現用戶數據泄露漏洞，據了解，本次被泄露的數據達131653 條，包括用戶帳號、明文密碼、身分證和郵箱等多種信息。12306官方網站當日公告稱，經認真核查，此泄露信息全部含有用戶的明文密碼。12306網站數據庫所有用戶密碼均為多次加密的非明文轉換碼，網上泄露的用戶信息是經其他網站或渠道流出。目前，公安機關已經介入調查。

這不是12306網站第一次發生用戶信息泄露事件了，但卻是最大的一次。

21世紀經濟報道稱，12月25日上午10時59分，烏雲網發布漏洞報告稱，大量12306用戶數據在網絡上瘋狂傳播。而此時，正是春運購票的關鍵時刻，12306網站每天的訪問量都很驚人。

此前，12306已多次被曝出漏洞。早在今年1月份，有網友爆料稱，12306訂票網站可以利用假護照、假身分證完成訂票。之後利用12306漏洞購票選上下鋪的攻略在網上轉發。今年7月15日，烏雲又曝出12306購票軟件存在漏洞，一人可購買一車廂票。

多位接受採訪的安全專家對此事件分析認為，這次很可能是黑客「撞庫」行為造成的，而非12306網站直接泄露，但同樣說明12306網站仍存在安全漏洞。不過，也有一些專家認為事件原因仍不明。

專家稱，所謂「撞庫」就是黑客通過收集網絡上已泄露的用戶名及密碼信息，生成對應的「字典表」，到其他網站嘗試批量登錄，得到一批可以登錄的用戶帳號及密碼。

據烏雲官網發布的消息稱，漏洞已交由第三方廠商國家互聯網應急中心處理。12月25日，國家互聯網應急中心人士表示：「事件正在調查當中，結果以官網發布為準。」

在12306網站在發布上述提示公告時，還特別提醒旅客不要使用第三方搶票軟件購票。這使得外界懷疑，此次泄露由第三方搶票軟件而起。

一位長期研究刷票軟件的人員告訴21世紀經濟報道，目前搶票軟件發展速度極快，但並不存在十分清晰的盈利模式，因此從第三方軟件中泄露數據的可能性也依然存在。

而據一位對烏雲網比較了解的專業人士稱，12306網站從2012年2月開始，在烏雲網上被披露的漏洞接近50個，其中涉及用戶資料泄漏和敏感信息泄露的漏洞佔7%，而還有44%的漏洞可間接導致信息泄露，例如命令執行漏洞和數據庫注入漏洞。

而這些被監測到的漏洞都持續了很長時間。這位專業人士稱，他們也不明白為什麼這些漏洞一直沒有被補救。

對這次用戶信息泄露事件，網絡議論熱烈。有網友擔心，這些泄露的信息是否包含購票過程使用的銀行卡等信息等。專業人士建議，如果用戶在其他網站也使用了12306網站同樣的用戶名和密碼，應當修改密碼。