据经济之声《天下公司》报道,时值暑假,扶不起的12306又被曝出存在安全漏洞。
在乌云漏洞平台上,一位匿名人士曝光12306漏洞称:“12306手机端APP 每次请求服务器都由手机调用数据库,根据传入的数据来生成一个加密字串用于提交服务器验证是否非法。目前这种算法已经泄露,以致可能会有人利用这种算法软件模拟手机端来非法囤积车票。
换句话说,黄牛破解漏洞以后,一个人就可以把整节车厢的票买下来。
对此,《天下公司》打电话向12306的客服进行求证,但是客服表示还没有听说这个消息。
12306:咱们现在还没有听说您说的这个事情,没有这个通知。
360的网络安全专家安扬表示12306客户端的算法泄漏,意味着“黄牛”可以用电脑软件,模拟多部手机多账号进行购票操作,黑客通过软件漏洞抢到大量的票,妨碍到了正常人购票。
安扬:12306的手机客户端它有一个限制就是同一台设备,同一个时间只能登陆一个账号,限制的方法是根据设备的ID和时间戳,经过一个算法算出校验值跟服务器验证,验证通过之后就可以进行操作。因为算法没有做相关的保护,因而可以被黑客逆向出来,也可以被黑客直接拿来使用。也就是说黑客可以通过逆向的算法,在电脑上用软件来模拟多部手机、多个账号来登陆,以此来抢大量的票。本来应该属于其他人的票都被票贩子抢光了。
《天下公司》从一些技术博客上了解到,关于12306手机端算法的分析文章已发布超过半年时间,这些漏洞很可能被不法分子利用制作刷票插件,掠夺车票资源,正常用户在春运等高峰期购票会更加困难。
12306铁路购票系统这个花了几亿
人民币(
6.2075,嬀挀漀氀漀爀=red]0.0042,嬀挀漀氀漀爀=red]0.07%)建成的项目已经不是第一次出现这样的漏洞了,从2011年系统诞生到现在,三年左右的时间不断出现各种问题。之前就有熟知铁路退票流程的“黄牛”,用自己和亲友的身份证购买多张车票,物色到买主后再选择退票,并立即用买主身份证“秒杀刷票”,通过这种衔接极快的“一退一买”,火车票就顺利地从票贩子手中变成了旅客的车票。
不仅如此,因为12306网站并没有与公安系统联网,无法对身份证号等信息进行审核,因此12306网站无法检测身份信息真伪。所以在任何一种浏览器上,都可以用假身份证号码和任意编造的诸如“金刚葫芦娃”、“女神”等网名成功购票。
对于这些漏洞,网络安全专家安扬表示修复这些漏洞并不需要很大的成本。
安杨:漏洞的解决不需要太大的成本,因为只是需要更新一下客户端来修复漏洞,也就是更新一下算法,让票贩子大量囤积车票的手段失效。
其实12306也在做修复。此前,针对各种抢票软件频繁出现的情况,12306还推出了升级之后的动态验证码。结果却由于辨别难度偏高,用户体验不佳,被网民调侃像毕加索的抽象画。
网络安全专家安扬表示出现问题是在所难免的,但是就这次的问题来看,的确是12306的工作人员安全意识有些薄弱了。
安杨:12306也不可避免会出现这样的问题,但是仅就这个漏洞来判断,可能是开发人员的安全意识比较薄弱,因为他把算法放在库里没有进行任何保护,实际上还是需要不断强化安全意识,对产品做更严格的安全审计,然后再发布出来,这样可能会更好。
