12306回應安全漏洞:沒聽說
責編:admin |2014-07-20 12:41:35據經濟之聲《天下公司》報道,時值暑假,扶不起的12306又被曝出存在安全漏洞。
在烏云漏洞平臺上,一位匿名人士曝光12306漏洞稱:“12306手機端APP 每次請求服務器都由手機調用數據庫,根據傳入的數據來生成一個加密字串用于提交服務器驗證是否非法。目前這種算法已經泄露,以致可能會有人利用這種算法軟件模擬手機端來非法囤積車票。
換句話說,黃牛破解漏洞以后,一個人就可以把整節車廂的票買下來。
對此,《天下公司》打電話向12306的客服進行求證,但是客服表示還沒有聽說這個消息。
12306:咱們現在還沒有聽說您說的這個事情,沒有這個通知。
360的網絡安全專家安揚表示12306客戶端的算法泄漏,意味著“黃牛”可以用電腦軟件,模擬多部手機多賬號進行購票操作,黑客通過軟件漏洞搶到大量的票,妨礙到了正常人購票。
安揚:12306的手機客戶端它有一個限制就是同一臺設備,同一個時間只能登陸一個賬號,限制的方法是根據設備的ID和時間戳,經過一個算法算出校驗值跟服務器驗證,驗證通過之后就可以進行操作。因為算法沒有做相關的保護,因而可以被黑客逆向出來,也可以被黑客直接拿來使用。也就是說黑客可以通過逆向的算法,在電腦上用軟件來模擬多部手機、多個賬號來登陸,以此來搶大量的票。本來應該屬于其他人的票都被票販子搶光了。
《天下公司》從一些技術博客上了解到,關于12306手機端算法的分析文章已發布超過半年時間,這些漏洞很可能被不法分子利用制作刷票插件,掠奪車票資源,正常用戶在春運等高峰期購票會更加困難。
12306鐵路購票系統這個花了幾億人民幣建成的項目已經不是第一次出現這樣的漏洞了,從2011年系統誕生到現在,三年左右的時間不斷出現各種問題。之前就有熟知鐵路退票流程的“黃牛”,用自己和親友的身份證購買多張車票,物色到買主后再選擇退票,并立即用買主身份證“秒殺刷票”,通過這種銜接極快的“一退一買”,火車票就順利地從票販子手中變成了旅客的車票。
不僅如此,因為12306網站并沒有與公安系統聯網,無法對身份證號等信息進行審核,因此12306網站無法檢測身份信息真偽。所以在任何一種瀏覽器上,都可以用假身份證號碼和任意編造的諸如“金剛葫蘆娃”、“女神”等網名成功購票。
對于這些漏洞,網絡安全專家安揚表示修復這些漏洞并不需要很大的成本。
安楊:漏洞的解決不需要太大的成本,因為只是需要更新一下客戶端來修復漏洞,也就是更新一下算法,讓票販子大量囤積車票的手段失效。
其實12306也在做修復。此前,針對各種搶票軟件頻繁出現的情況,12306還推出了升級之后的動態驗證碼。結果卻由于辨別難度偏高,用戶體驗不佳,被網民調侃像畢加索的抽象畫。
網絡安全專家安揚表示出現問題是在所難免的,但是就這次的問題來看,的確是12306的工作人員安全意識有些薄弱了。
安楊:12306也不可避免會出現這樣的問題,但是僅就這個漏洞來判斷,可能是開發人員的安全意識比較薄弱,因為他把算法放在庫里沒有進行任何保護,實際上還是需要不斷強化安全意識,對產品做更嚴格的安全審計,然后再發布出來,這樣可能會更好。