2014年12月25日上午10点59分，WOOYUN平台有某网友发表一篇题为《大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等（泄漏途径目前未知）》的帖子，称当前有黑客获取了12306的所有用户信息并在一些黑客群体中进行流传、买卖。该文章立即引起了大量媒体、相关技术人员的关注及疯狂转发。

经过知道创宇安全研究团队第一时间验证了该消息的准确性，并获取到了该文中提到的样本数据，文件标题为《12306 邮箱-密码-姓名-身份证-手机（售后群：31109xxxx）.txt》，共计131653条记录、文件大小14M。

经过初步推测该批数据的来源有三种可能性：黑客直接攻击网站；散播刷票软件等木马程序；利用现有用户数据进行“撞库攻击”。

知道创宇安全研究团队针对该批数据进行了紧急调查：

1、随机抽取了一批帐号（约50个）均成功登陆12306，证明了该批数据是准确的；

2、随机联系了该批数据中的多个qq用户，均反馈没有使用过抢票软件且近期没有购票行为；

3、经与群中人员进行交流，并未有人见过该批１８G的全部数据，普遍认为该批数据为撞库所得，并不存在18G的12306全部数据。

4、安全人员搜索以往互联网上的数据进行了匹配，从17173.com、7k7k.com、uuu9.com等网站泄露流传的数据中搜索到了该批13.15万条用户数据，基本可以确认该批数据全部是通过撞库获得。

经过３个小时的调查，知道创宇安全研究团队经过仔细分析获得如下结论：

１、该批131653条的12306用户数据是真实的。

２、该批数据基本确认为黑客通过“撞库攻击”所获得。

３、当前网上并无18G的12306数据的流转迹象。