Go homepage(回首页)
Upload pictures (上传图片)
Write articles (发文字帖)

The author:(作者)aaa
published in(发表于) 2013/12/8 8:51:59
中国铁路总公司-新版12306泄密漏洞已修复-铁路总公司-泄密

铁路总公司:新版12306泄密漏洞已修复|铁路总公司|泄密|漏洞_新闻资讯

  央广网北京12月8日消息(记者侯艳 刘玉蕾) 据中国之声《新闻纵横》报道,2014年铁路春运售票工作昨天(7日)正式启动。为配合新一轮的春运工作,新版中国铁路客户服务中心12306网站两天前正式上线试运行。新版页面更加美观,还多了一个"更多选项"功能,新增了自动刷票服务和自动提交订单信息功能,购票流程得到优化。


  不过,就在上线第一天、大部分人还没来得及亲自体验新版网站的便利时,擅长"挑刺"的IT高手们就发现了问题。有人通过第三方漏洞报告平台乌云网指出,12306新版网站存在漏洞,可能导致信息泄露、造成订票不公。这到底是怎么回事?铁路总公司官方对此又作何回应呢?


  乌云网站显示,该漏洞的发现者指出,漏洞可导致12306网站信息泄露,可查询,登录名、邮箱、姓名、身份证以及电话等隐私信息。另一名漏洞的发现者也曝出"新版12306网站存在多个订票逻辑漏洞",该漏洞可能导致后期订票软件泛滥,造成订票不公。记者昨天上午致电12306客服,得到的回复是并不知道此事,网站运行正常。


  客服:欢迎致电北京铁路客户服务中心。


  记者:你好,有报道说,你们新版的网站现在存在安全漏洞,你们听说了吗?


  12306客服:没有提示,女士,现在可以正常使用的。您这是从哪个网站看到的?是从12306官方网站吗?


  记者:是一个第三方的漏洞报告平台,现在媒体也有报道。


  12306客服:建议您以12306官方网站为准,女士。


  一个说有问题,一个说没问题,我们到底该相信谁?记者就此采访了互联网专家王越。


  王越:一般情况下,12306客服的回应比较官方,技术上面的东西他们也不太懂,对于媒体或者对于大众的回复没有多少实际参考价值。从乌云它历次对这种事件的信息的提供来看,相对还是比较真实的。


  事情果然如此,昨天中午时分,记者从铁路总公司得到的回复是,“上线当晚漏洞已经弥补”。


  乌云网公开信息显示,铁路总公司的确分别于6号、7号两天对于乌云网提交的漏洞作出回复,说漏洞已得到处理修正。而且,上述漏洞的具体细节并没有公布,只是由网站提供给了铁路总公司。


  其实,类似这样的互动并不是第一次。早在2012年9月,乌云网就曾发布12306出现高危害等级漏洞的消息。那么,乌云网的这些做法是利是弊、它是否应该将12306存在漏洞的消息这样公布于众呢?


  乌云网成立于2010年5月,以成为“自由平等的”的漏洞报告平台为目标,为计算机厂商和安全研究者提供技术上的各种参考以及漏洞的修复。也就是说,用户可以在线提交发现的网站安全漏洞,企业用户则可以通过平台得知自己网站存在的问题。2011年11月,乌云网连续披露京东商城、支付宝、网易等著名互联网企业存在高危漏洞,12月29日更是指出支付宝1500万-2500万用户资料泄露,以及广东省公安厅出入境政务网444万用户信息泄露,从此一炮打响。此后,如家酒店等开房信息泄露、腾讯7000万QQ群用户数据泄露等一系列引起关注的泄漏事件均由乌云网公布。


  功勋卓著乌云网在其官方发布的信息中还表示,其最重要的使命就是尊重。让企业获悉并尊重漏洞发现者发现的信息,防止漏洞被企业忽视、或者被漏洞发现者破坏性的公布。


  但是,相关的一系列事件也一再引发业内争议:乌云网的行为是否会为黑客攻击提供线索?


  根据乌云网联合创始人孟德的说法,在厂商未确认或驳回前,公众不会看到漏洞的具体细节,黑客很难根据这些消息进行违法行为。但互联网专家王越表示,如果黑客对此有兴趣,侵入这个企业并不是难事。


  王越:因为我自己也用过他那些服务,你注册完后你的确是可以看到一般人看不到的信息,但是你看到之后你的确就可以自己拿去用了,因为你懂嘛,关键是看你找到了这些信息,你是安全的,还是说你就是个真实的黑客;你是想要做什么,是想锻炼一下练练手,还是说你就是想拿到用户信息,然后下一步是拿它来贩卖或者是拿来做一些犯法的事情。


  王越建议,对于官方站点和安全问题反馈平台来说,都应进一步加强自身安全防护,不给黑客可乘之机。


  王越:觉得一方面是12306这种官方的站点不能只是把功能放上来就实现了为网民为百姓服务的效果,应该更多地考虑互联网实际运用中可能出现的一些状况。另一方面乌云这种网站也不能太互联网化,他们只考虑把问题公开出来了,并没有太好的做一些相应的防护,如果有人利用它做攻击也很容易。


  既然漏洞的确存在,也很可能给了一些人可乘之机,春运在即,希望有关方面能够真正彻底堵上漏洞、消除风险,给大家创造一个安全、公平的网络购票环境。昨天,铁路部门也公布最新的2014年春运日程,新一轮春运从1月16号开始,2月24号结束。期间火车票预售期与日常相同。其中,互联网、电话订票预售期为20天,也就是说,12月28号发售春运第一天的车票;车站窗口、代售点、自动售票机预售期为18天,12月30号发售春运第一天的车票。特别要提醒的是,春运期间加开临客的预售期分别要再提前5天。


  此外,为了引导旅客增强购票计划性,有别于日常采取的梯次退票方案,春运期间,铁路部门对因旅客原因办理车票改签,且改签后车票的乘车日期在春运期间的,退票的时候一律按票面票价的20%核收退票费。


  也就是说我们在购票之前这回一定要考虑好了。除了在网上购买火车票,还有一个最新的信息是,今天,铁路部门的官方手机购票客户端——“铁路12306”也将上线试运行。这个客户端支持列车信息查询,还可以在手机上直接购买火车票。安卓和苹果系统的手机用户都可以免费下载,有兴趣的朋友不妨尝试一下。


(原标题:新版12306被曝存在泄密漏洞 铁路总公司:已修复)


(编辑:SN028)
2013年12月08日08:08
中国广播网


If you have any requirements, please contact webmaster。(如果有什么要求,请联系站长)





QQ:154298438
QQ:417480759