2014年12月25日上午10點59分，WOOYUN平臺有某網(wǎng)友發(fā)表一篇題為《大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)瘋傳包括用戶帳號、明文密碼、身份證郵箱等(泄漏途徑目前未知)》的帖子，稱當前有黑客獲取了12306的所有用戶信息并在一些黑客群體中進行流傳、買賣。該文章立即引起了大量媒體、相關技術人員的關注及瘋狂轉發(fā)。

[[125190]]

知道創(chuàng)宇安全研究團隊第一時間驗證了該消息的準確性，并獲取到了該文中提到的樣本數(shù)據(jù)，文件標題為《12306 郵箱-密碼-姓名-身份證-手機(售后群：31109xxxx).txt》，共計131653條記錄、文件大小14M。

經(jīng)過初步推測該批數(shù)據(jù)的來源有三種可能性：黑客直接攻擊網(wǎng)站;散播刷票軟件等木馬程序;利用現(xiàn)有用戶數(shù)據(jù)進行“撞庫攻擊”。

知道創(chuàng)宇安全研究團隊針對該批數(shù)據(jù)進行了緊急調查：

1、隨機抽取了一批帳號(約50個)均成功登陸12306，證明了該批數(shù)據(jù)是準確的;

2、隨機聯(lián)系了該批數(shù)據(jù)中的多個qq用戶，均反饋沒有使用過搶票軟件且近期沒有購票行為;

3、經(jīng)與群中人員進行交流，并未有人見過該批18G的全部數(shù)據(jù)，普遍認為該批數(shù)據(jù)為撞庫所得，并不存在18G的12306全部數(shù)據(jù)。

4、安全人員搜索以往互聯(lián)網(wǎng)上的數(shù)據(jù)進行了匹配，從17173.com、7k7k.com、uuu9.com等網(wǎng)站泄露流傳的數(shù)據(jù)中搜索到了該批13.15萬條用戶數(shù)據(jù)，基本可以確認該批數(shù)據(jù)全部是通過撞庫獲得。

經(jīng)過3個小時的調查，知道創(chuàng)宇安全研究團隊經(jīng)過仔細分析獲得如下結論：

1、該批131653條的12306用戶數(shù)據(jù)是真實的。

2、該批數(shù)據(jù)基本確認為黑客通過“撞庫攻擊”所獲得。

3、當前網(wǎng)上并無18G的12306數(shù)據(jù)的流轉跡象。