12306噩梦重现:机密外泄 体验遭完爆

【亿邦动力网讯】世人对于铁道部的信心再度一夜之间搁浅。

无数期待能在国庆节期间订到火车票的用户在苦苦守候12306.cn中感到失望透顶。对于这个曾被内部人士估值超过百亿的铁路订票系统,并没有改变 线下一票难求的局面,反而每当运输高峰时,便呈现出一幅“任尔东南西北风”的姿态,在缓慢中爬行。面对如此的电商网站,能够订到票的人已属万幸;订不到票 的人只能愤懑的吐槽;更可怕的是,12306还会不知不觉的泄露很多为人不知的内部机密。

管理不善致内部敏感信息泄露

让人难以置信的是,偌大的一家国有电商网站,却漏洞百出。

据第三方漏洞报告平台“乌云”9月18日发布的监测信息显示,12306订票系统存在严重的用户密码泄露问题,用户密码可被任意修改。该漏洞危害等级被评为高等,漏洞类型属于设计缺陷和逻辑错误。

12306

12306被指可随意修改用户密码

不过该消息尚未被厂商确认处理。而亿邦动力网登陆12306后发现,如若修改账户密码,可通过注册时登记的电子邮件或密码提示问题两种渠道修改密码,但前提是必须获取该账户的注册邮箱或密码提示答案。

那么,在不能获知注册信息的前提下,按照正规的修改密码流程,12306账户尚不存在随意修改密码的可能性。

这可能是某个用户在恶搞——那些被问题频出的12306惹恼的人只能通过这样的方式来发泄一番。但亿邦动力网却发现,在乌云平台上,从2012年2 月份至今,关于12306的制造厂商中国铁道科学研究院的设计漏洞,曾先后被提交了9次之多。包括账户体系控制不严、系统或服务运维配置不当、SQL注射 漏洞等,基本上都得到了厂商的确认。

12306

12306被举报的安全漏洞

值得注意的是,其中一项为12306网站域名存在漏洞,由于运维管理不完善,员工意识不足,造成内部敏感系统对外开放,内部办公信息及内部邮件地址泄漏,甚至会导致IT系统被攻入,包括域名被恶意劫持。

亿邦动力网从“乌云”提供的线索看到,名为刘刚的注册人于2003年3月份注册了12360.cn的域名,注册公司为中华人民共和国铁道部。随后, “乌云”按照该注册人姓名及默认密码123(显然该用户未修改)顺利登录了中铁信息工程集团信息办公平台,包括集团所有员工个登记人信息、内部通告、考 勤、财务信息、医疗保障等资料均一览无余。此外,该注册人刘刚隶属高级用户,有权在CRM系统里对上述信息进行查询、编辑、修改以及删除。

随后,亿邦动力网试图打开中铁信息工程集团的官方网站加以验证,但被提示页面错误,已无法打开。

12306

12306域名注册人与中铁信息工程集团员工一致

12306

中铁信息工程集团内部资料外泄

虽然不能判断官网报错与12306的信息泄露是否存在直接关联,但仍然暴露出泄露信息安全的危险存在。根据中铁信息工程集团对乌云的回复情况来看,已经确认该漏洞的存在。

此外,12306和中铁科学研究院还涉及诸多本应规避的系统隐患。譬如SQL注入攻击,是web开发中最为常见安全漏洞,便于黑客从数据库获取敏感信息等一系列恶意操作,甚至有可能获取数据库乃至系统最高权限。

而在今年早些时候,12306更是被用户指出无法识别同名信息的低级错误,即官网无法识别同名同姓用户,对用户名和密码相同的用户,暂无法识别区分。

“从建设互联网站角度,中国铁道科学研究院应该算是业余部队吧?” 得知真相的用户强烈流露不满并指出,12306对于自身内部的信息安全性尚无法保障,一个简单的安全设计便暴露出足够多的问题,让购票者难以信赖。

系统升级遭遇订票狂潮

用户的积怨并不无道理。

据亿邦动力网了解,在提前十天开放国庆节期间的车票预订后,昨天赢来了网上订票高峰。“因为大多数企事业单位都是9月30号始放假,所以今天(9月18日)刚好可以订到29号火车票回家。”

然而,事实情况却让用户备受打击。

“每次登陆的时候,都提醒用户访问过多,稍后尝试。已经尝试了无数次了,一直没有登录进去。”据知情人士透露,早在上周末时,12306订票系统就一直处于无法登陆的状态,一直延续至今。

按照12306网站提供的信息来看,该网站目前正处于升级状态,因此在处理业务过程中可能会对用户使用造成不便。然而,据媒体报道,12306.cn周日已完成了新一轮升级。

但新系统却对用户进行购票强制排队处理。不少用户在反复提交订单后等待超过半个钟头,系统却显示订单处理失败,需要重新提交。

亿邦动力网发现,有的户在微博上发帖戏谑地指出,12306网站订票系统仅用12行代码就开发完成:让用户无限循环地在“用户过多,稍后尝试”中焦急等待。

12306

用户无数次被拦截在登录页面

“从9点登录,N次终于登上,不时被踢出来。再幸运登上,10点钟准时买票,预订后进入一个3分钟排队系统。3分钟后,显示订单失败请重新买。这次 是30分钟。中间又被踢出来再也没登上过。12306,登你比登钓鱼岛还难!”用户抱怨道,12306的购票体验已与售票窗口无异,同样都是排队,同样都 是空手而归。

12306

用户在排队系统等候却遭遇订单提交失败

根据网站规定,订单未完成的情况下不允许同时订其他班次的车票,一天内3次申请车票成功后取消订单,当日将不能在网上购票。对此,用户也只能通过不断地尝试去换得一次成功的希望。“如果网上订票被迫终止,还可以打电话。”

但12306并没有给予用户更多的机会。一位在北京工作的山西籍用户表示,自今晨7点开始拨打订票热线,29日开往太原的火车票已然销售一空。

等不到的2015

“建议铁道部直接上淘宝开店,淘宝目前日处理订单在1500万单以上,支付宝目前日处理交易笔数的能力上限是1亿笔。” 支付宝公关总监陈亮调侃道。

此前层有消息称,铁道部在去年春运后紧急召开研讨会,邀请相关公司如支付宝、淘宝、百度、CSDN等公司,研讨下一代网上售票系统关于数据安全、便捷支付以及如何应对突发的访问量、保证服务器等问题。

但这一消息很快便没了下文,接踵而至的是铁道部开始狙击网上代购火车票的电商平台,包括京东、携程等。

业内人士分析认为,12306除了技术因素外,在流程设置和流量疏散上存在较多的不合理之处,加剧了该网站在订票高峰期间的拥堵。

该人士指出,由于政策取缔了其他电商网站代售车票业务,12306成为了网购火车票唯一途径。而线上与线下开放票务时间的一致性,也让12306陷 入被动。蜂拥而至的抢票者在同一时间同一入口冲击12306官网,其流量爆棚的时间段可以堪比淘宝大促,而12306此前只承担了铁道部客服中心官网的任 务,显然没有经历过类似的高峰测验,网站瘫痪或运载速度缓慢在所难免。

12306

大量订票用户被滞留在网站上

另一方面,12306自去年春运至今都没有改善的问题就是支付方式的单一性。亿邦动力网发现,由于目前12306仅支持中国工商银行、中国农业银 行、中国银行、招商银行的银行卡以及中国银联的在线无卡支付。这也致使了当流量爆棚时,支付系统连接的api接口过于集中,交易时间被迫延长。

与此同时,鉴于火车票的特殊性,12306不支持购物车系统,即用户订单不能长久保留。12306规定用户必须在限定时间内完成支付,否则将取消订单。在这种情况下,如果用户多次被卡在了支付环节,就必须不断地在网站上点击支付,从而网站滞留的用户越积越多,难以负荷。

更让人不解的是,12306系统升级后非但没有解决上述问题,却推出了排队系统,让用户停留在页面上静候半个小时。由于多数用户排队后并未真的等到票源,还需再次选票、排队、支付,从而进入恶性循环,对网站承载力的考验进一步加剧。

“通常情况下,只有访客太多了,服务器反应不过来才会出现排队的情况。”业内人士指出,铁道部对于节假日期间的客流高峰有充足的预计,因此才会考虑 到系统升级,但采用排队处理的方式则表明12306网站的瞬间承压和处理订单能力的并没有提高,尚无法在短时间帮助用户完成订单确认。

按照铁路部的规划,铁路新一代客票系统自2011年初开始研发,采取分步建设的方案,分三个阶段实施。2012年底前完成一期工程建设任务,预计2013年底前完成二期工程建设,2015年底前完成全部工程建设。

投资大,耗时长,12306订票系统的漏洞百出和极差的用户体验值得铁道部相关部门反思。

但铁道部的日子并不好过。

最新信息显示,铁道部上半年亏损88亿元,净负债2.3万亿元,无论是债务压力还是投资速度都没有明显的改善。由于大部分固定资产投资都用在了基础设施建设上,12306的改进速度也难在短期内实现。

这也意味着在系统搭建完毕之前,用户依然要忍受抢票的煎熬。“2012的船票都快到了,2015年的火车票遥遥无期。”

本文固定链接: http://www.ccsbbs.com.cn/archives/2206.html | 极限手指

该日志由 极限手指 于2012年09月19日发表在 互联网事 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: 12306噩梦重现:机密外泄 体验遭完爆 | 极限手指
关键字:

12306噩梦重现:机密外泄 体验遭完爆:等您坐沙发呢!

发表评论

您必须 [ 登录 ] 才能发表留言!