抽丝剥茧：浙江卫视就12306泄密事件采访安恒白帽子

12月26日下午就在铁路公安部门公布已经抓到了两个嫌疑人，且官方也下了“撞库”的结论之后，浙江卫视来到杭州安恒信息技术有限公司对“12306数据泄露”一事进行了相关采访。安恒研究院也把对该事情的分析过程对记者做了讲解。以下是分析的一些过程：

目前网上流传的多个版本泄漏数据中，只有14M的文件被证实是真实数据， 而其他的版本都没发现是12306的数据。在知乎上也有人发布了一篇文章，似乎还存在更多的数据：

图片来自知乎问文章

这些信息的真假目前还无法考证。如果14M数据只是一小部分，后果非常严重。

在事情发生的当天中午安恒研究院安全研究人员对互联网上流传的14M数据进行了分析：

1.文件的格式是通过多个减号进行分割，不像是数据库中直接导出的数据，数据应该通过程序进行了处理，所以这些数据应该不太可能是直接数据库中存储的格式。

2.从14M泄漏信息里抽查了大量邮箱，比照之前互联网上泄露的数据库发现，所有邮箱都在之前泄漏的数据库中存在，并且存在明文的密码字段， 而密码的内容和泄漏信息相同，这可以说明这些明文密码应该是通过之前泄漏的数据库获取的。

3.泄漏的数据很有规律，相邻的数据都是在同一个库中出现，所以可以确定，生成泄漏数据文件的方式是通过已泄露的其它数据库进行批量密码碰撞或撞库，并获得的明文密码信息。

4.通过一些互联网上已经泄露的数据库的查询分析，泄漏信息的密码源主要包括了以下的数据库：

嘟嘟牛

25691

7k7k

开心网

173173… …

这些数据库的数据量大概超过6000万条

5．对于“撞库”结论的疑惑：

撞库是利用其他泄漏的数据库用户密码信息，对另外一个网站进行密码的碰撞。如果要将6000万条的数据跑完，每秒尝试10次需要两个多月时间才能完成（除非12306完全没有请求数据限制，或者攻击者利用了分布式的方式），也有可能只跑了一部分数据，真正能撞到的数据还有更多。

另外一个问题就是验证码，12306的PC端的验证码比较难识别，但登陆接口并非只有一个，手机APP也存在登陆接口，经过测试也没有验证码。密码只是md5进行了一次hash，这个接口登陆也不需要进行短信验证。所以很容易利用这个接口进行撞库攻击。如果是撞库，这是否也暴露出了12306对此类新型攻击手段的防范意识与手段有待加强呢？

还有一个可能是数据库信息之前已经泄漏了一部分，这次只是对密文密码的碰撞所得，这样12306日志中就监测不到相关的攻击，目前公布的情况似乎不是这类，但是否真存在其他的地下数据库就不得而知了。查看一下Web服务器的访问日志应该就可以很容易确定，但在目前12306多子站安全问题频发以及该站对撞库攻击应对不力的现状来看，到底会不会存在更严重的数据泄露事件，还有待进一步观察。