“这次只是暴露了其中一部分的数据。”北京大学计算机科学技术系教授陈钟认为，“如果没有人揭露出来，公众、媒体可能也不清楚现在这个问题”。

　　与“撞库说”同时出现的，是对“抢票软件泄露数据”的猜测。12月25日，在警方公布抓获黑客之前，12306网站发表声明称数据系经其他网站或渠道流出，并提醒旅客“不要使用第三方抢票软件购票，或委托第三方网站购票”，以防止身份信息外泄。

　　然而，中国青年报记者在泄露的13万用户数据中随机拨打了18人的电话，共10人接受采访，他们均表示自己从未使用过第三方插件购票，有的甚至已将近一年未使用该账号。

　　李铁军分析，一些抢票软件有“离线抢票”的功能，存在一定风险或隐患。软件在电脑关闭之后，依然可以进行抢票，这意味着用户名、密码都交给了第三方。“这样的情况下，就增加了风险，当然，不能说就一定是他们有问题”。

　　他称，正常的抢票软件会遵守12306的规则，但一些小公司甚至黄牛开发的抢票软件“任何可能买到票的手段都会用到”，包括连接速度、破解验证码的速度。

　　他说，目前网上只公开了13万条泄露数据，除了撞库，是否还有其他原因，有待继续分析和警方调查。

　　陈钟认为，抢票软件能够成功抢票，说明系统里一定有正常的、可以使用的交互过程，“这里面可能还有其他方面的博弈，或者说管理上的博弈”。

　　陈钟强调，要以事实为依据，如果系统存在设计或管理缺陷，应该加以解决。

　　12306可填补哪些漏洞?

　　此次事件之前，在国内漏洞报告平台“乌云网”，12306网站2011年以来被网友指出约60处漏洞。其中，“验证码”问题是屡受诟病的漏洞之一。

　　验证码是用户登录时的一道关卡，只有用户名、密码、验证码都正确才可正常登录。如果验证码措施得当，即使黑客程序掌握了用户名、密码，“试”出其正确性的难度也大大增加。

　　余弦告诉中国青年报记者，在此次“撞库”事件中，12306存在易被“撞库”攻击的接口，该接口没做好安全防御，“原则上应该做好防御，比如，限制一个IP对这个接口的请求频率，超过一定频率或次数就应该采用验证码措施或屏蔽措施。”
　　【推荐】华图花新闻  一键关注   参与话题#国考面试时政热点#   花花带你看时政（国考面试备考：时政热点专题）

添加您的专属公考咨询师

扫码免费领取专属学习礼包

领取资料 咨询优惠