2014年12月25日上午10點(diǎn)59分，WOOYUN平臺(tái)有某網(wǎng)友發(fā)表一篇題為《大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)瘋傳包括用戶帳號(hào)、明文密碼、身份證郵箱等(泄漏途徑目前未知)》的帖子，稱當(dāng)前有黑客獲取了12306的所有用戶信息并在一些黑客群體中進(jìn)行流傳、買賣。該文章立即引起了大量媒體、相關(guān)技術(shù)人員的關(guān)注及瘋狂轉(zhuǎn)發(fā)。

[[125190]]

知道創(chuàng)宇安全研究團(tuán)隊(duì)第一時(shí)間驗(yàn)證了該消息的準(zhǔn)確性，并獲取到了該文中提到的樣本數(shù)據(jù)，文件標(biāo)題為《12306 郵箱-密碼-姓名-身份證-手機(jī)(售后群：31109xxxx).txt》，共計(jì)131653條記錄、文件大小14M。

經(jīng)過(guò)初步推測(cè)該批數(shù)據(jù)的來(lái)源有三種可能性：黑客直接攻擊網(wǎng)站;散播刷票軟件等木馬程序;利用現(xiàn)有用戶數(shù)據(jù)進(jìn)行“撞庫(kù)攻擊”。

知道創(chuàng)宇安全研究團(tuán)隊(duì)針對(duì)該批數(shù)據(jù)進(jìn)行了緊急調(diào)查：

1、隨機(jī)抽取了一批帳號(hào)(約50個(gè))均成功登陸12306，證明了該批數(shù)據(jù)是準(zhǔn)確的;

2、隨機(jī)聯(lián)系了該批數(shù)據(jù)中的多個(gè)qq用戶，均反饋沒(méi)有使用過(guò)搶票軟件且近期沒(méi)有購(gòu)票行為;

3、經(jīng)與群中人員進(jìn)行交流，并未有人見(jiàn)過(guò)該批18G的全部數(shù)據(jù)，普遍認(rèn)為該批數(shù)據(jù)為撞庫(kù)所得，并不存在18G的12306全部數(shù)據(jù)。

4、安全人員搜索以往互聯(lián)網(wǎng)上的數(shù)據(jù)進(jìn)行了匹配，從17173.com、7k7k.com、uuu9.com等網(wǎng)站泄露流傳的數(shù)據(jù)中搜索到了該批13.15萬(wàn)條用戶數(shù)據(jù)，基本可以確認(rèn)該批數(shù)據(jù)全部是通過(guò)撞庫(kù)獲得。

經(jīng)過(guò)3個(gè)小時(shí)的調(diào)查，知道創(chuàng)宇安全研究團(tuán)隊(duì)經(jīng)過(guò)仔細(xì)分析獲得如下結(jié)論：

1、該批131653條的12306用戶數(shù)據(jù)是真實(shí)的。

2、該批數(shù)據(jù)基本確認(rèn)為黑客通過(guò)“撞庫(kù)攻擊”所獲得。

3、當(dāng)前網(wǎng)上并無(wú)18G的12306數(shù)據(jù)的流轉(zhuǎn)跡象。