12月25日上午，漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告，危害等级显示为“高”，漏洞类型则是“用户资料大量泄漏”。 眼下正值春运抢票高峰期，乌云漏洞平台突然爆出了一个骇人听闻的消息：12306用户资料疑似大量泄漏，甚至有明文形式的密码，以及身份证、邮箱等敏感信息。

12306铁路客服中心的态度倒是真不错，迅速做出回应，称该网站数据库的所有用户密码都是多次加密的非明文转换码，网上泄漏的应该来自其他渠道，同时提醒用户不要用第三方抢票软件，只上12306。

到底怎么回事呢？

乌云方面也对此进行了深入研究，发现利用正在流传的数据，随即抽查几个帐号验证，确实可以登录。

有白帽子专家分析认为，数据疑似黑客撞库后整理得到，而并非12306直接泄漏，请用户及时修改密码，同时慎用抢票工具。

所谓“撞库”，是一种针对数据库的攻击方式，通过攻击者所拥有数据库的数据通攻击目标数据库，可以理解为使用在A网站盗取的账户密码来登陆B网站，因为很多用户在不同网站使用的是相同的账号密码。

再打个比方，就是你从大楼保安那里复制了一大串钥匙，然后跑到隔壁同一家建筑公司、同一批设计人员造的楼里，一把把试着去开不同的门。

最近还有个“拖库”经常出现，它是指从数据库中直接导出数据，更加严重，因为这意味着数据库本身存在很大的漏洞。

也有人怀疑是第三方抢票软件泄露所致，目前还没有证据可以证明，但无论如何，抢票的心情可以理解，但一定要注意保护自己的安全，并强烈建议12306用户更改密码，最好是和其他网站不同的密码。

因为，这些数据已经在网上公然叫卖了，如果被黄牛拿到，把我们辛辛苦苦订的票退掉倒腾给别人，岂不是太郁闷了！

相关阅读：12306密码外泄该怎么办?要立即改邮箱密码(方法)