12306泄密

12306泄密
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
喧嚣背后的真相：12306数据泄露事件深度分析 p0tt1认证作者2014-12-26金币奖励+25共747448人围观 ，发现 78 个不明物体 头条观点
本文属FreeBuf黑客与极客（FreeBuf.COM）专栏文章，未经许可禁止转载

rm.png

恰逢春运前，铁道部12306网站“13万用户数据泄露”“快去改密码！”“32G用户数据库下载”瞬间刷爆了网络。一时间很多猜测，很多言论，很多“谣言”，很多“真相”……它们充斥着我们的视线。

莫让迷雾遮望眼——作为一个信息安全从业者和技术人，是时候冷静的坐下来看看究竟发生了点什么了。

起因

热点事件传播的开端可能都大同小异了，无非是微博，QQ或是其他社交渠道发现了一则“12306用户数据泄露”的消息。一开始你只是在“互联网的那些事”等营销微博号上看到，接下来发现门户的官微转发了，再后来人民日报发了！最后，央视居然TMD也报道了！

年末这么多媒体不可能一起来炒作忽悠大众吧！网民们的第一反映——这绝对是大事件！12306被入侵了，数据库被黑客泄露了……

随之而来的是，好事者和技术宅开始了搜索之旅，各种离线文件各种云盘各种存储渠道的链接向你袭来，于是你机智的下载了……伴随着间歇性转发，此时高傲的你面对着四处求种的人们还带着一丝优越感——哼，哥早就有了！

下载下来一看，我们得到的不是传说中的22G，18G，32G或37G！（以大小来标记数据貌似也是从下载动作片开始…已经越来越像炒作了！）而我们看到的是14M，约13万的用户数据。就像这样：

QQ图片1.jpg

看到这里，只是个起因而已，是的没错，大多数人都做到了这一步，如果这个你都没做到的话，恩，只能说看热闹不怕事儿大，你连热闹都没认真看啊！

升温

热点事件就是这样，要么不温不火，要么火到源头都控制不了局面。很多人开始在这14M的数据里开始挖掘了，有很多人开始在数据里查询自己活朋友的信息了，无论是否处于好意，但是这个时候你就会发现，数据没有想象中那么齐全：

2.png

然后，更多的人选择了继续寻找全的数据，这个时候，你就想着了魔或者是强迫症患者一样开始疯狂的寻找，你开始重新关注22G，32G…

那么好吧，很多人开始消耗那些在我国实属不便宜的宽带费用，甚至第一次开启了下载软件的VIP会员，就是不能沦为人后，这是一个数据的时代！大数据的时代，什么数据价值还能大过12306吗？

3.png

笔者也不能免俗，但是总有不详的预感，整个事件发展到这里，跟一些桃色事件、XX门太像了！果不其然，在2014的这个圣诞节，我等屌丝们再次怀着无比激动的心情，打开下载文件，再次重温了儿时经典《葫芦娃》！
5.png

失控

当人们还在沉醉于朋友圈转发和找种子的激情时，一些明眼人或着保持理智的人开始意识到——被央视转发的新闻就是真事吗？新闻的源头会不会有问题？12306真被黑了？

于是12306第三方网站被黑的论调出现，分销商和分销网点数据泄露似乎是个不错的解释，可能性也极大。但是此刻立即有阴谋论者跳出来说：这是托词，是推诿，是12306在找临时工顶包！

另一种在我看来比较理智的是“撞库”说，我们随机抽出所谓“泄露数据库”中的100条数据，将他们的密码提取出来，然后尝试登录12306，你会发现：“花擦！居然都能用呢！”。

FreeBuf小科普：什么是“撞库”

少量数据验证正确并不能代表这些数据就是12306网站流出的，而很有可能是黑客们将一些已经泄露的数据库（比如多年前的CSDN）很好的贯彻了数据整理的思想，通过12306进行了验证（俗称洗白）把能够成功登陆的账号密码汇总，并且将登陆后拿到的身份证信息，电话信息和姓名信息一并汇总，也就是俗称的“撞库”。

那么这样费劲撞库得来的数据，为什么会泄露出来呢？以下是一些猜想：

1、没有买卖就没有杀害，数据被买卖，货卖多家导致扩散开来
2、多方联合的炒作事件——懂的人骗不懂的。然而炒作都是有利益关系的，这大家自己YY下就好了
3、自我“逼格”的提升，干了这么“惊天动地的”事情人，想低调都觉得对不起自己
... ...
好吧，这些暂且不说了，至此12306事件与跟当年被翻炒了多少遍的冷饭“开房数据泄露”如出一辙，却彻底被炒火了甚至失控了。有些小伙伴也是相当有才，分分钟连专用的查询社工库都出现了，我只能说你太机智了，手速也真是快啊：

5.png

高潮

当门户、“业内人士”“专家”联手将12306话题推向高潮的时候（据说专家们还要把2014称为漏洞之年）……一群人坐不住了，他们急于证明黑客不只能做“撞库”这种毫无技术含量的事！

于是“安全圈”流出了很多的截图，说12306的服务器已经被入侵了，甚至给出了截图的证明：

6.png

重磅炸弹，貌似一瞬间推翻了之前证据确凿的“撞库”论，恩，这次事件开始有意思了，高潮来了一浪又一浪！这个时候，甚至有人将12306服务器的控制权限（webshell和连接密码）都丢出来了，也就是说，谁都可以直接使用12306服务器的控制权限。

终于可以聊聊漏洞了

是啊，真正事件的过程中，信息量太大了，事件源本身似乎也并非漏洞？都来不及去看看技术相关的东西了

好了，我们先来看看网上公布的入侵证据：

7.png

这一张和第一张重磅炸弹一样，黑客使用struts漏洞（曾于2013年爆发）拿到了服务器控制权限，原图还不打马赛克，把包含漏洞网站域名清晰的展现给大家，仿佛就是说“欢迎来搞！”

所以，一旦你看到截图，联想到这个漏洞，那么想测试这个漏洞实在是太简单了，所以一大波入侵者和好事者正在来袭，比如这样：

8.png

漏洞危害我就不说了，一目了然，但是漏洞毕竟不是不重要，安全也绝对不是吓唬大众，该有节操还是要有，说到这里，到底如何，旁观者心中明白，搞技术的这个时候一定不能添油加醋…

都说是“撞库”，但12306真有漏洞

有几个值得我们思考的地方，就是真正入侵12306服务器或者说发现这些漏洞的人究竟在什么时候就开始了呢？Struts2漏洞爆发也是long long ago了，并且该漏洞在2013年集中地爆发过。当时状况惨不忍睹，各种知名、大型网站纷纷落马。

但为什么当时没有人说12306被黑了呢？或者说那个时候12306奇迹般的存活了下来？

那么可能性就只有三种了：

1、12306在struts2漏洞爆发的时候，已经被人入侵，只是一直潜伏，这次事件太热，才浮出水面
2、当时struts2漏洞爆发的时候，漏洞被批量利用，但是12306官网并不存在该漏洞，或者说当时大家没有发现12306的子域名和子站（这次6~7存在struts2漏洞的均为12306的子站）。所以得以幸免。
3、都是中国人，年年春运都实属不易，没有人忍心干掉12306（这一条可以忽略，但我要传播正能量！）
第一种可能性上文我们详细阐述过了，至于第二种，我觉得，那这次漏洞被发现可能是因为很多辅助的原因，因为当struts2漏洞爆发的时候，大家寻找存在漏洞的目标去利用一般使用google的语法，所以很可能那个时候真没找到12306这些存在漏洞的分站。

服务器是入侵了，但数据呢？

事情理到这里也差不多了，但是大家有没有发现，这些入侵截图都没有连接数据库的截图，也就是说是不是这些分站都没有12306数据，与此次泄露毫无关联？

虽说攻击者可以利用struts2漏洞入侵服务器，获取最高权限，但即使最高权限你也不能获取到服务器上本就没有的东西……

所以笔者判断，最初的14M 13万数据还是一次“撞库”的成果总结，这也就能解释为什么数据中的密码全是明文了。

结语

对12306来说，漏洞什么时候都该修补，漏洞爆发时要补，不管别人能不能找到你，不要存在侥幸心理，漏洞爆发的风头过去后产品才上线也要补，坏人总在角落盯着或等着你。

而笔者认为，信息安全从业者做的是让大家了解事件的危害，警觉起来，提高意识，几时修改密码什么的，而不是一味的吓唬大众来炒热整个行业，吓唬得到的是恐惧，而不是尊敬。

对大众而言，立即修改你的密码（买票了的话），没买票的，直接删除所有人名和身份证信息吧。春运在即，实属不易。另外，从今天起，你可以也需要关注信息安全了。

[FreeBuf专栏作者/黑客叔叔p0tt1，本文属FreeBuf黑客与极客（FreeBuf.COM）专栏文章，未经许可禁止转载]

p0tt1
p0tt1
21 篇文章
等级： 6级
||
上一篇：12306警示录：你的密码在谁的手里？下一篇：测一测才知道，百度安全软件是不是真流氓？
这些评论亮了

daker (2级)像草一样活着，不能自拔回复
说得不错，
让我狂热的大脑冷静了不少！
还是看看热乎的18G.avi压压惊！
)65(亮了

klgft 回复
你们有没有想过这样一种可能：此次事件其实一半是炒作，一半是真实，其目的是幕后黑手想测试社会公众、媒体、执法机关对数据泄漏的反应，以获取建立某种数据模型的关键信息？自古以来，固若金汤的堡垒从来都是最容易从内部攻破，可能没有谁敢正面攻击12306网站窃取数据，但是怎能保证既贪婪又愚蠢的内鬼在诱惑面前不会做出倒卖内部数据的丧心病狂之举？
)35(亮了

hello 肉丝 回复
圣诞节我放弃了各种只有两三个人就能演完的电影重温了下葫芦娃
)12(亮了

ys7 (1级)这家伙很勤快，却什么介绍也没写。回复
楼主写得真心不错！分析也很到位。结尾总结那一段，非常给力！“吓唬得到的是恐惧，而不是尊敬。” 很赞！
)8(亮了

巴拉巴拉 回复
是真的泄漏了。而且都几个月了。
这个真不骗你们。有注册的还是修改下密码亡羊补牢吧。
根据我目前知道的平安保险有12306的数据库。
内部消息。
)7(亮了
发表评论已有 78 条评论

内幕人士 2014-12-26回复 1楼
靠谱的分析。黑客叔叔的文笔，还是熟悉的味道

亮了(5)

哈哈哈 2014-12-26回复 2楼
有人手贱！！！！！！

亮了(3)

daker (2级) 像草一样活着，不能自拔 2014-12-26回复 3楼
说得不错，

让我狂热的大脑冷静了不少！

还是看看热乎的18G.avi压压惊！

亮了(65)

oqfg12 (1级) 2014-12-26回复
@ daker 来晚了，没下到，大神求一份！！啊啊

亮了(2)

sn0w 2014-12-26回复 4楼
黑叔的文笔就是硬朗啊，看着带劲，“好久不见”这次忘了说啦！

亮了(4)

ys7 (1级) 这家伙很勤快，却什么介绍也没写。 2014-12-26回复 5楼
楼主写得真心不错！分析也很到位。结尾总结那一段，非常给力！“吓唬得到的是恐惧，而不是尊敬。” 很赞！

亮了(8)

p0tt1 认证作者(6级) 黑客叔叔，RainRaid和SniFFeR.Pro团队负责人 2014-12-26回复
@ ys7 大家都怕你，不会把行业搞热，只会搞臭~

亮了(3)

ys7 (1级) 这家伙很勤快，却什么介绍也没写。 2014-12-26回复
@ p0tt1 嗯嗯。所以作为一个有责任感的信息安全从业者，必须应该具备这样觉悟！ 楼主你道出了很多人的心声。赞！

亮了(3)

sdfsdf 2014-12-26回复 6楼
LZ，其实你完成可以把图片上的个人信息打码的。。。

亮了(5)

1x1 (1级) 2014-12-26回复 7楼
22G 那个，我已在群里口头批评了

亮了(3)

nigou 2014-12-26回复
@ 1×1 22G那个bak文件是假的么?

亮了(6)

新华社围观者 2014-12-26回复 8楼
"而不是一味的吓唬大众来炒热整个行业，吓唬得到的是恐惧，而不是尊敬。"

业界良心，黑叔我要跟你生猴子..猴子..子。。。子。。。

亮了(3)

outdoxl (1级) 2014-12-26回复 9楼
求 黑客叔叔 带我飞

亮了(2)

shoelace 2014-12-26回复 10楼
图片不打马?

亮了(6)

我bu是李白 (1级) 2014-12-26回复 11楼
哈哈

亮了(2)

爱捣蛋的鬼 (2级) 2014-12-26回复 12楼
黑叔分析的到位

亮了(3)

hello 肉丝 2014-12-26回复 13楼
圣诞节我放弃了各种只有两三个人就能演完的电影重温了下葫芦娃

亮了(12)

nclove 2014-12-26回复 14楼
分析的很好！

亮了(3)

路人丙 2014-12-26回复 15楼
感觉像xx抢票神器做到的

亮了(3)

前女友 (1级) 2014-12-26回复 16楼
顶一个 32个赞 嘿嘿

亮了(2)

小阿娇 (1级) 2014-12-26回复 17楼
大娃请求加你为好友，保持队形！

亮了(1)

前女友 (1级) 2014-12-26回复 18楼
晚上请求为你暖床

亮了(1)

lulu 2014-12-26回复 19楼
吓唬得到的是恐惧，而不是尊敬。说的对！

但安全产品需要的是恐惧的用户。

亮了(2)

露仁饼 (1级) 2014-12-26回复 20楼
总觉得黑叔盒饭已领的我是不是应该拖出去自觉打脸一分钟？

亮了(1)

hkk (2级) 2014-12-26回复 21楼
灰阔叔叔我的沙发米有了~~~呜呜

亮了(1)

94年黑客 2014-12-26回复 22楼
闲的没事儿干了

亮了(1)

s 2014-12-26回复 23楼
都是中国人，年年春运都实属不易，没有人忍心干掉12306（这一条可以忽略，但我要传播正能量！）

亮了(4)

3+4 (1级) 2014-12-26回复 24楼
感谢黑客叔叔的鞭辟入里的论点，以及专业B格的态度，一直是Freebuf最期待的好料之一，p0tt1 is for belief！

亮了(1)

p0tt1 认证作者(6级) 黑客叔叔，RainRaid和SniFFeR.Pro团队负责人 2014-12-26回复
@ 3+4 belief~太抬高我了~

亮了(1)

Aurora (4级) 2014-12-26回复 25楼
分析的就是很好- -我瞬间明白了·····

亮了(1)

p0tt1 认证作者(6级) 黑客叔叔，RainRaid和SniFFeR.Pro团队负责人 2014-12-26回复
@ Aurora 是你一瞬间就机智了~

亮了(1)

yc 2014-12-26回复 26楼
12306数据库会随便放分站或主站你可以碰到的地方么。后面有多少层隔离知道嘛，去铁科院机房看看吧。

亮了(5)

Ra8er (1级) Keep Calm and Carry On. 2014-12-26回复 27楼
可以转吗！

亮了(1)

wulalaximi (2级) 2014-12-26回复 28楼
写得真好~又可以圈一堆粉了

亮了(1)

润土 (2级) 月光下的西瓜地 2014-12-26回复 29楼
膜拜大牛

亮了(1)

吃葡萄不吐葡萄皮的雪碧 认证作者(4级) 通信狗 硬件狗 2014-12-26回复 30楼
葫芦娃,葫芦娃, 一根藤上七朵花。风吹雨打,都不怕,啦啦啦啦。 叮当当咚咚当当,葫芦娃,叮当当咚咚当当,本领大,啦啦啦啦。 葫芦娃,葫芦娃,本领大。

亮了(5)

p0tt1 认证作者(6级) 黑客叔叔，RainRaid和SniFFeR.Pro团队负责人 2014-12-26回复
@ 吃葡萄不吐葡萄皮的雪碧 唱得真好！

亮了(1)

Rechange (6级) 关注网络安全、智能硬件 2014-12-26回复
@ 吃葡萄不吐葡萄皮的雪碧 这段根本没有办法正常的读下来。。。

亮了(1)

浆泥 2014-12-26回复 31楼
看热闹不怕事大，坐看砖家拯救世界

亮了(1)

yyyy3333 2014-12-26回复 32楼
裤子呢？？？

亮了(1)

小明 2014-12-26回复 33楼
某些安全公司、组织太没节操啦，爆的都是啥料啊，质量如此低下，让人鄙视。

还是freebuf好。

亮了(3)

BlueWolf (1级) 技术小站|http://blog.b1uew01f.net/ 2014-12-26回复 34楼
葫芦娃,葫芦娃, 一根藤上七朵花。风吹雨打,都不怕,啦啦啦啦。 叮当当咚咚当当,葫芦娃,叮当当咚咚当当,本领大,啦啦啦啦。 葫芦娃,葫芦娃,本领大

熟悉的旋律在耳畔不停的环绕……

亮了(1)

klgft 2014-12-26回复 35楼
执法机关就是个软蛋，类似的数据泄漏发生多少起了，可有严厉打击过始作俑者？就这执法水平，还妄想建设网络安全大国，做你春秋大梦去吧！

亮了(4)

softbug 认证作者专栏作者(7级) i am here! 2014-12-26回复 36楼
谁把我密码改了！我靠

亮了(3)

atos 2014-12-26回复
@ softbug 我改的，暴露了

亮了(2)

klgft 2014-12-26回复 37楼
你们有没有想过这样一种可能：此次事件其实一半是炒作，一半是真实，其目的是幕后黑手想测试社会公众、媒体、执法机关对数据泄漏的反应，以获取建立某种数据模型的关键信息？自古以来，固若金汤的堡垒从来都是最容易从内部攻破，可能没有谁敢正面攻击12306网站窃取数据，但是怎能保证既贪婪又愚蠢的内鬼在诱惑面前不会做出倒卖内部数据的丧心病狂之举？

亮了(35)

Puil (1级) 专注模型建立 2014-12-26回复 38楼
不愧是黑客叔叔，虽然一看就知道18G是葫芦娃

亮了(1)

zzti_fgp (1级) 这家伙太懒，就是不写个人说明！ 2014-12-26回复 39楼
分析的很到位，如何可以从统计的角度进行分析，或许也可以得出结论，年龄结构、性别比例、地区性

亮了(1)

YHHK (1级) 2014-12-26回复 40楼
一棵树上七朵花~~

亮了(2)

画船听雨。 (1级) 2014-12-26回复 41楼
黑客叔叔我也要看葫芦娃

亮了(1)

taylorwin (6级) 2014-12-26回复 42楼
这个样子啊

亮了(1)

z0mbie 2014-12-26回复 43楼
说了这么多，谁给个下载地址

亮了(1)

波风止水 (3级) 2014-12-26回复 44楼
听说毛子黑客可以几百万个SQL注入同时进行

亮了(2)

memory 2014-12-26回复 45楼
或许真的不是撞库咧？？？？！！！

亮了(1)

anythingtest (1级) 2014-12-26回复 46楼
我看是 那个谁 没有买到票，故意搞这事解解气的

亮了(1)

Coink 2014-12-26回复 47楼
警察叔叔就是这个人

亮了(1)

laikunhhhh (1级) 2014-12-26回复 48楼
黑客叔叔不仅演讲生动，文章写的也井井有条啊，风趣幽默却有不失内涵，赞一个！

亮了(1)

laopoc12 (1级) 2014-12-26回复 49楼
很中肯啊

亮了(1)

河蟹 2014-12-26回复 50楼
裤子我早就有了

亮了(4)
1 2 下一页
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
p0tt1
p0tt1认证作者

黑客叔叔，RainRaid和SniFFeR.Pro团队负责人

21
文章数
240
评论数
最近文章
温州数字电视是如何被黑的 ？
2015.06.08

裸奔吧！APP：揭秘安卓UC浏览器与PP助手私密文件夹羞羞的事情
2015.02.11

喧嚣背后的真相：12306数据泄露事件深度分析
2014.12.26

浏览更多
相关阅读
揭秘：刀光剑影下的暗网黑市心灵侦探：针对潜在内部攻击者的心理侧写方法一周海外安全事件回顾（2014.01.06 – 2014.01.11）BadBarcode条码攻击浅析揭秘美国安局绝密黑客小组TAO：专攻国外情报
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank