“太可怕了，三年前注冊了一個12306網站的賬戶，現在卻發現賬戶被人盜用，常用聯系人裡絕大部分都是不認識的人。”市民潘小姐非常震驚，自己三年沒用的賬戶，竟然被黃牛拿去刷票了，而且向鐵路部門、110反映，也找不到原因。

　　隨著春運大幕開啟，一些不常購票的市民發現他們“沉寂已久”的12306賬戶信息中出現了一個甚至多個素不相識的人：為什麼黃牛會盯上這些“沉寂”的賬戶，這些賬戶又通過怎樣的渠道落入黃牛手中？

　　　無法刪除陌生人信息

　　1月6日，之前在國外讀書的潘小姐嘗試在12306網站購票。“賬戶三年前就注冊了，但一直沒用過。這次原本打算和媽媽周末一起乘高鐵去蘇州散散心。”但登錄12306網站進入個人賬戶后，潘小姐驚訝地發現，她的常用聯系人列表中，除了自己之外，居然還有14個素不相識的人，“我看了看名單，年齡最大的60多歲了，最小的才剛剛成年，而且身份証號碼也是來自全國各地的。”

　　有朋友提醒潘小姐，她的賬戶應該是被黃牛盜用了，讓她趕緊再查查賬戶信息。潘小姐隨后再次點開了她的賬戶，發現這些陌生人信息是2016年12月14日通過12306官網審核，批量加入到她的賬號之中，“我查詢后發現，正好就是春運火車票預售前夕，看來是黃牛拿著我的賬號，購買春運火車票賺錢。”

　　潘小姐表示，原本想把12306的賬戶密碼更改一下繼續購票就算了，反正也沒查到有什麼損失，但更改密碼后，自己卻無法刪除常用聯系人列表中那些陌生人的信息。無奈之下，她隻能來到上海火車站的票務中心尋求幫助。“我去了人工售票處的服務台，工作人員表示根據系統規定，要在2017年6月12日以后才可以刪除，現在的辦法隻有注銷賬戶再重新注冊一個新賬戶。”

　　　12306稱未泄露用戶信息

　　潘小姐隨后致電12306客服熱線，想了解自己的賬戶到底是如何被黃牛盜用的？

　　“12306客服堅稱，我的賬戶及相關信息不可能是12306網站泄露的，一定是在其他第三方網站泄露的，還說我這種案例並不少見，具體什麼原因，客服也說不上來。”潘女士說，她的12306賬戶是在2014年注冊申請的，因為當時還在國外念書，注冊之后就沒有用其購買過火車票，“不過我在其他的論壇和應用上的確用過12306的賬戶名及密碼。”

　　記者咨詢了12306官方客服，據客服介紹，像潘小姐這樣的賬戶被盜甚至密碼被篡改，可以通過驗証的電子郵件或手機重置密碼。但是根據常用聯系人的身份信息核驗狀態，標注狀態為“已通過”、“請報驗”、“預通過”的常用聯系人在180天內不能刪除，至於為什麼要有180天的限制時間，該客服聲稱這是規定，但具體原因並不知情。

　　此外，該客服還表示，一個賬戶內最多可以添加不超過15名常用聯系人，“所以，像潘小姐這樣聯系人列表已滿的狀況，確實比較麻煩，如果急著購票，隻能到鐵路車站的服務窗口或相關代售點購票。”

　　　[新聞延伸]

　　“沉寂賬戶”更易被“撞庫攻擊”，被盜后難被發現

　　業內人士分析，黃牛確實有可能就是盜用了他人的“沉寂賬戶”，這些賬戶因為長時間不用，即使是被不法分子盜用了很難被發現。

　　12306網站上線以來，黃牛和官方的博弈就一直在進行。曾不斷出現各種身份信息被搶注的情況，為防止黃牛利用他人身份信息惡性搶票，2015年6月中旬，12306網站發布公告，稱將網站注冊用戶名下的“已通過”、“請報驗”、“預通過”常用聯系人(乘車人)累計上限由原來的100人調整為30人。隨后又不斷調整，現在上限調整為15人。“這樣的話，黃牛如果想要多購票，就需要更多的賬戶信息和成本。直接盜取‘沉寂賬戶’，是最為直接的手段了。”業內人士說。

　　而12306也出現過安全問題。據了解，早在2014年底的春運搶票高峰期間，烏雲漏洞平台就發布高危害等級漏洞報告，報告顯示，12306用戶資料疑似大量泄露，甚至有明文形式的密碼，以及身份証、郵箱等敏感信息。隨即又有大量12306用戶數據在互聯網上傳播售賣，包括用戶賬號、明文密碼、身份証、郵箱等。已知公開傳播的數據庫涉及用戶數約14萬。

　　GeekPwn(極棒)實驗室網絡安全專家宋宇昊表示，像潘小姐這樣的“沉寂賬戶”被盜存在多種可能的原因：“比如說她在其他平台上使用的賬號密碼和在12306上使用的賬號密碼是同一個，那麼別人就可以通過‘撞庫攻擊’ 的方法來獲得她的12306賬號密碼。另外一個可能就是病毒，如果她在使用12306賬戶時，終端裡面有惡意程序，她的賬戶信息也有可能會泄露。”

　　針對“撞庫攻擊”，目前國外的一些互聯網企業已經有了相應的措施：“通過技術手段對異常登錄現象進行持續監控，對‘撞庫攻擊’行為進行分析辨別，從而防止用戶信息泄露。”宋宇昊認為，像潘小姐這樣長時間不使用的12306賬戶更容易被“撞庫攻擊”，因為這些賬戶用的還是老的用戶名和密碼，沒有經過修改，所以比起新賬戶或者活躍賬戶來說，它們在數據庫裡的重合率一般會更高一些，也就是說“撞庫”的成功率會更高一些。不僅如此，這些“沉寂賬戶”基本都處於荒廢狀態，被找回的可能性也更小，可以保証黃牛更長時間、更穩定地使用。

　　有人專門出售賬戶，幾塊錢一個，要多少有多少

　　那麼，黃牛到底是從哪裡得到了潘小姐的賬戶信息呢？

　　記者從部分黃牛那裡了解到，他們所使用的12306賬戶除了有用自己身份信息注冊的，也有一些是買來的。“5元一個買的，到現在還沒出現過什麼問題，已經用這些賬戶搶了不少票。”一名黃牛說。

　　隨后，該黃牛還向記者推薦了幾名專門出售12306賬戶的賣家。記者聯系了其中的多名賣家，並表示想要購買12306賬戶，一名賣家說：“10元一個，要多少有多少。”另外一名賣家則把價格壓得更低，但是要求要大批量購入，“2.5元一個，如果一次性購買100個，單價還可以再減掉0.5元。”

　　而當記者詢問這些賬戶都是從哪裡來的，該賣家支支吾吾地回答：“我們的賬戶都是定制的，用幾年都不會有問題。多的不解釋，你自己想吧！”

　　賬戶還可以定制？“定制”到底是什麼意思？該賣家並沒有向記者解釋這些問題，他只是保証這些賬戶不是搶注的，不用擔心被找回。而像他這樣號稱能替別人“定制”賬戶的賣家，記者在網上還找到了不少。

　　宋宇昊告訴記者，安全是一個博弈對抗的過程，即使平台採取了很多措施，攻擊者也有可能找到另外的方法來達到他們的目的。所以，任何平台都不可能沒有安全漏洞，12306也不例外。不過在安全性方面，第三方平台比官方平台泄露信息的風險更大。“不管是從技術上還是從責任意識上來講，第三方平台肯定都沒有官方平台那樣強，特別是一些小平台，在保障用戶信息安全方面的投入肯定不會太多。”

分享讓更多人看到