12 月 28 日，Freebuf 称，“圈内又在传一张疑似12306泄露数据暗交易的图，春运抢票高峰还没到，黑产分子就已经出手了”。据称，这份数据包括 60 万账户信息，详细到除了ID、手机号、密码之外，连姓名、身份证、邮箱、问题及答案然都有，根据安全问题很可能能够直接申诉获取其它平台账户的重要信息。此外，还包括每个账户中添加的联系人信息，设计姓名及身份证号，这些联系人数据总量高达410万。

按照暗网兜售信息的老规矩，兜售者还给出了 50 条随机数据以供买家验证。

随后，铁总出来辟谣：

不过，吃瓜群众请注意，铁总出来辟谣，说的是铁路 12306 网站未发生用户信息泄露，并不代表此次用户信息泄露事件为假，按照安全圈的部分小伙伴验证，这些信息还真“对得上号”。

因此，一些媒体分析，此次在暗网出现的 12306 用户可能来源自第三方抢票软件，或者是不法分子撞库所得，但从多个渠道打听得知，基本可以排除第二个选项。

12 月 28 日， *** 尖刀团队创始人曲子龙在其公众号撰文称，“从合理性的角度出发，直接去撞12306，然后用机器人去绕他那个该死的验证码，说实话这种撞库产生不是不可能，但是经验告诉我们这个投入产出比不是特别的理性。我们几个小伙伴关联一下相关信息，把事件定位锁定在‘有可能是第三方的抢票软件被攻击’导致用户信息泄露从而致使数据泄露的可能性会更高些”。

曲子龙解释，用户在第三方平台上面输入12306的账户密码，因为第三方平台需要保持用户的持续登录状态，所以它要存储其账户密码的明文，同时因为要填写购票信息，所以也存储了一份用户的个人信息。

随后，曲子龙表示，其所在的团队溯源了六个多小时，根据目前这份数据，他们推测，有两种可能的泄露途径。“一是老库筛出来还能用的数据，但是这样成本其实挺高；二是我之前的观点第三方抢票软件泄漏，12306在11月初改版后已经没有问题和密保的字段，这份数据肯定不是新数据，某些抢票软件在之前是有记录过密保这个字段的，所以有一定可能，毕竟抢票软件不是今年才开始的。”

“从老库删选的新数据”这一推测与知道创宇首席安全官周景平（黑哥）的观点一致。不过，他强调，目前都是推测，“个人倾向于老数据清洗所得”。

360 *** 安全响应中心高级安全分析师韩昊晟表示，由于没有之前的历史数据不能判断重合率，但是通过数据量、售价（20$）、暗网中其他12306帖子的数据可以看出，应该不是官方泄露。“可能来自之前历史数据或第三方购票软件的数据。另外，从暗网的帖子看，最近不止这一个人出售。还是建议用户加强安全意识，通过官方渠道购票避免非正常渠道购票带来的风险。”

安全公司“数字观星”在其公众号透露，根据目前暗网的交易记录，已有 2 人付费购买。该公司定位到了疑似“卖家”的新浪微博。数字观星称，根据该博主的登录历史记录，即可以组成一条成型的证据，观星已经将相关证据提交给有关部门。

如果你在第三方抢票软件登记过相关个人隐私信息，以及在其他关键账户上设置了与12306账户类似的密码，以防万一，还是赶紧修改一把密码吧！