近日发生的用户信息泄露事件，已不是12306网站第一次发生类似事件了，但却是最大的一次。近日，12306网站发布公告称，经认真核查，此次泄露的信息全部含有用户的明文密码。12306网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。目前，相关犯罪嫌疑人已经被公安机关控制。

　　泄露原因何在？

　　乌云网创始人邬迪告诉记者，12月25日10时59分，在事件发生后，乌云网立刻进行了核查，在确认该消息的真实可靠性后对此事进行了发布。

　　不久后12306就在第一时间知道了此消息，并与乌云网取得联系，表示会认真调查此事，并在日后发布公告。

　　14时15分，乌云网通过新浪微博发布消息称，数据疑似黑客撞库后整理得到，而并非12306直接泄漏，请用户及时修改密码，同时慎用抢票工具。

　　针对此次泄露事件的原因，360互联网安全中心的安全研究人员在非常肯定地以书面方式回答采访函时表示，“此次12306网站信息泄露是被黑客撞库造成的”。

　　其理由是，经过他们的安全研究人员调查发现：第一，几乎所有13万条12306账号密码，都可以在此前多家游戏网站泄露的密码库中匹配到相应的记录。这说明黑客用多家游戏网站的密码库对12306发动“撞库”攻击，筛选出13万余条使用相同账号密码的用户数据。第二，通过对12306泄露数据中的相关用户进行抽样调查，超过半数没有使用任何抢票软件，其余则是使用不同的抢票软件。

　　目前，除撞库外，拖库、洗库亦成为一个非常成熟的形成利益过程。

　　互联网黑市里的产业链

　　邬迪称，所谓“撞库”就是黑客通过收集网络上已泄露的用户名及密码信息，生成对应的“字典表”，到其他网站尝试批量登录，得到一批可以登录的用户账号及密码。

　　登录用户的后台后，可能存在邮箱、手机号码、身份证号码被泄露以及账务积分和账户余额流失等多种风险。

　　“如果用户及时修改原始密码就可以规避撞库风险。”邬迪说，“但这并不等于自己的信息就完全安全了”。

　　邬迪告诉记者，除了撞库外，还有另一种方式叫做“拖库”。黑客通过技术手段直接下载某平台的全部数据库。“但本次12306泄露可以排除拖库的可能性”。

　　在业内人士看来，“拖库”是指入侵有价值的网络站点，把数据库全部盗走的行为。盗取数据后，黑客会通过一系列的技术手段清洗数据，并在黑市上将有价值的用户数据变现交易，此为“洗库”。最后，黑客将得到的数据在其他网站上进行尝试登录，叫做“撞库”。

　　浪潮电子信息安全事业部副总经理蔡一兵表示：“在互联网的黑市里有一个非常成熟的产业链，有一个非常成熟的形成利益过程：即拖库、洗库和撞库。”

　　为什么会有这么大的漏洞？

　　不过，邬迪称：“此事目前还无法下定论。”

　　12306网站在发布上述提示公告时，还特别提醒旅客不要使用第三方抢票软件购票。这使得外界怀疑，此次泄露事件由第三方抢票软件而起。一位长期研究刷票软件的人员告诉记者，目前抢票软件发展速度极快，但并不存在十分清晰的盈利模式，因此从第三方软件中泄露数据的可能性依然存在。

　　不过，让互联网安全专家更关心的是，如果真是撞库造成的泄露，12306网站为什么会留下这么大的漏洞？

　　“如果这次撞库发生在Google、微软身上，不可能成功。因为成熟的网站都会在登录服务器时设置二次验证程序。国内很多网站为了节省成本，并没有设置这一道程序。” 猎豹移动安全专家李铁军表示。但是，目前并不清楚，此次漏洞是否与验证程序设置有关。

　　一位对乌云网比较了解的专业人士称，12306网站从2012年2月开始，在乌云网上被披露的漏洞接近50个，其中涉及用户资料泄漏和敏感信息泄露的漏洞占7%，而还有44%的漏洞可间接导致信息泄漏，例如命令执行漏洞和SQL注射漏洞。

　　360安全专家安扬也认为，12306网站被撞库，说明12306账号安全体系仍需要进一步完善，以便及时发现并阻断黑客撞库攻击。

　　侵权责任如何划分？

　　2012年12月28日，全国人大常委会通过《关于加强网络信息保护的决定》后，网络个人信息保护有了法律依据。今年3月15日施行的新《消费者权益保护法》也增加了保护消费者个人信息的规定。

　　最新的司法依据是10月9日由最高法院公布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，其中首次列举了个人隐私的范围。

　　“泄露个人信息者一定要承担相应的侵权责任，问题是谁来承担。”中国政法大学传播研究中心研究员朱巍告诉记者。

　　“如果是12306泄露，要区分为故意泄露还是过失泄露，故意泄露毫无疑问要承担侵权责任。”朱巍说，“在国外，故意泄露还可以区分为出于商业目的还是非商业目的，如果是商业目的要加大处分力度，但国内司法没有这样的区分。”

　　如果12306是出于过失导致信息泄露，司法实践中会采用过错推定原则确定侵权责任，“即先推定12306存在过错，然后由12306举证，证明自己尽到了安保责任。”朱巍说。

　　朱巍认为，如果存在12306作为开放平台，通过开放端口与第三方平台进行授权合作的情况，即使信息是经第三方泄露，12306也应承担连带责任。