2014年12月25日爆出的12306网站大量用户私人信息外泄事件成为今年送给大家最特别的“圣诞礼物”，该事件导致大量12306用户数据包括用户帐号、明文密码、身份证和邮箱在内的12306用户数据在互联网上疯狂传播。 

12月25日晚间，中国铁路官方微博发布消息称，当晚，铁路公安机关将涉嫌窃取并泄露12306网站电子信息的两名犯罪嫌疑人抓获。经查，嫌疑人蒋某、施某通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息，尝试登录其他网站进行“撞库”，非法获取用户的其他信息，并谋取非法利益。

什么是“撞库”

所谓“撞库”，是黑客通过收集互联网已泄露的用户+密码信息，生成对应的字典表，尝试批量登录其他网站后，得到一系列可以登录的用户信息。很多用户在不同网站使用的是相同的账号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网站，这就可以理解为“撞库”攻击。

为何被“撞库”

有专家认为：12306网站之所以被“撞库”得手，根本原因是其账号安全体系存在缺陷。12306手机APP的登录接口存在漏洞，黑客可以轻易绕过账号安全防护措施，无限次尝试自动登录。此前网上流传的13万余条12306用户密码都是由黑客“撞库”获取，如此巨大的登录请求数量，12306都没有及时发现并屏蔽。

同时，爱加密技术人员指出，‍‍手机APP漏洞‍‍导致用户的帐号名和密码等隐私信息泄漏，而很多用户习惯用同一个帐号名和密码登录不同的网站，这也是此次“撞库”成功的另一个很重要的原因。