在12306能力和用戶體驗遭受質(zhì)疑的同時,12306又一更嚴重的問題被發(fā)現(xiàn),其存在嚴重安全漏洞,有可能泄露用戶信息,并且其他人可以通過該漏洞任意修改用戶名和密碼,進行訂票、退票等操作。
保存到相冊 |
烏云網(wǎng)站上顯示的12306漏洞信息 [保存到相冊] |
在烏云網(wǎng)站(www.wooyun.org)網(wǎng)站上,在最新確認欄有一條12306某分站信息顯示:12306.cn某分站注入漏洞,漏洞類型為SQL注射漏洞,危害等級為高,相關(guān)廠商為中國鐵道科學(xué)研究院,目前漏洞狀態(tài)為廠商已經(jīng)確認。
據(jù)漏洞作者“yingoing”介紹,技術(shù)人員通過漏洞任意修改用戶的密碼,可進行“訂票、退票”等操作,用戶信息將遭到泄露。至于具體的操作方法,“yinggoing”表示不便公開,“具體細節(jié)就不透露了。等他們修復(fù)再公開吧!這個確實影響很大!
媒體報道,據(jù)“烏云白帽子”稱,漏洞已提交廠商,等待處理。該漏洞是“烏云白帽子”根據(jù)網(wǎng)友提供的信息,“烏云”進行測試,確認漏洞的存在,危害等級為“高”。“烏云白帽子”介紹,12306.cn官網(wǎng)的系統(tǒng)可能沒經(jīng)過嚴格設(shè)計和測試,導(dǎo)致這個安全漏洞的出現(xiàn),“但詳細信息不便透露,等待修復(fù)”。
“烏云白帽子”向媒體透露,“烏云”已于18日將漏洞的細節(jié)通過郵箱提交給中國鐵道科學(xué)研究院,正等待廠商處理。
早在今年年初,12306就曾有媒體報道,12306存在安全漏洞問題,有可能造成用戶信息泄露,時隔9個多月,12306增加了“強制排隊”功能,卻沒有解決安全問題。
烏云網(wǎng)站是一個專門收集曝光各種系統(tǒng)安全漏洞的網(wǎng)站,早在2011年底,互聯(lián)網(wǎng)行業(yè)爆發(fā)泄密事件。烏云網(wǎng)站網(wǎng)站先后曝出CSDN、天涯、當當、京東商城等網(wǎng)站存在安全漏洞,因此聲名鵲起。