新版12306被曝存在泄密漏洞 鐵路總公司：已修復

據中國之聲《新聞縱橫》報道，2014年鐵路春運售票工作昨天(7日)正式啟動。為配合新一輪的春運工作，新版中國鐵路客戶服務中心12306網站兩天前正式上線試運行。新版頁面更加美觀，還多了一個"更多選項"功能，新增了自動刷票服務和自動提交訂單信息功能，購票流程得到優化。

不過，就在上線第一天、大部分人還沒來得及親自體驗新版網站的便利時，擅長"挑刺"的IT高手們就發現了問題。有人通過第三方漏洞報告平臺烏云網指出，12306新版網站存在漏洞，可能導致信息泄露、造成訂票不公。這到底是怎么回事？鐵路總公司官方對此又作何回應呢？

烏云網站顯示，該漏洞的發現者指出，漏洞可導致12306網站信息泄露，可查詢，登錄名、郵箱、姓名、身份證以及電話等隱私信息。另一名漏洞的發現者也曝出"新版12306網站存在多個訂票邏輯漏洞"，該漏洞可能導致后期訂票軟件泛濫，造成訂票不公。記者昨天上午致電12306客服，得到的回復是并不知道此事，網站運行正常。

客服：歡迎致電北京鐵路客戶服務中心。

記者：你好，有報道說，你們新版的網站現在存在安全漏洞，你們聽說了嗎？

12306客服：沒有提示，女士，現在可以正常使用的。您這是從哪個網站看到的？是從12306官方網站嗎？

記者：是一個第三方的漏洞報告平臺，現在媒體也有報道。

12306客服：建議您以12306官方網站為準，女士。

一個說有問題，一個說沒問題，我們到底該相信誰？記者就此采訪了互聯網專家王越。

王越：一般情況下，12306客服的回應比較官方，技術上面的東西他們也不太懂，對于媒體或者對于大眾的回復沒有多少實際參考價值。從烏云它歷次對這種事件的信息的提供來看，相對還是比較真實的。

事情果然如此，昨天中午時分，記者從鐵路總公司得到的回復是，“上線當晚漏洞已經彌補”。

烏云網公開信息顯示，鐵路總公司的確分別于6號、7號兩天對于烏云網提交的漏洞作出回復，說漏洞已得到處理修正。而且，上述漏洞的具體細節并沒有公布，只是由網站提供給了鐵路總公司。

其實，類似這樣的互動并不是第一次。早在2012年9月，烏云網就曾發布12306出現高危害等級漏洞的消息。那么，烏云網的這些做法是利是弊、它是否應該將12306存在漏洞的消息這樣公布于眾呢？

烏云網成立于2010年5月，以成為“自由平等的”的漏洞報告平臺為目標，為計算機廠商和安全研究者提供技術上的各種參考以及漏洞的修復。也就是說，用戶可以在線提交發現的網站安全漏洞，企業用戶則可以通過平臺得知自己網站存在的問題。2011年11月，烏云網連續披露京東商城、支付寶、網易等著名互聯網企業存在高危漏洞，12月29日更是指出支付寶1500萬-2500萬用戶資料泄露，以及廣東省公安廳出入境政務網444萬用戶信息泄露，從此一炮打響。此后，如家酒店等開房信息泄露、騰訊7000萬QQ群用戶數據泄露等一系列引起關注的泄漏事件均由烏云網公布。

功勛卓著烏云網在其官方發布的信息中還表示，其最重要的使命就是尊重。讓企業獲悉并尊重漏洞發現者發現的信息，防止漏洞被企業忽視、或者被漏洞發現者破壞性的公布。

但是，相關的一系列事件也一再引發業內爭議：烏云網的行為是否會為黑客攻擊提供線索？

根據烏云網聯合創始人孟德的說法，在廠商未確認或駁回前，公眾不會看到漏洞的具體細節，黑客很難根據這些消息進行違法行為。但互聯網專家王越表示，如果黑客對此有興趣，侵入這個企業并不是難事。

王越：因為我自己也用過他那些服務，你注冊完后你的確是可以看到一般人看不到的信息，但是你看到之后你的確就可以自己拿去用了，因為你懂嘛，關鍵是看你找到了這些信息，你是安全的，還是說你就是個真實的黑客；你是想要做什么，是想鍛煉一下練練手，還是說你就是想拿到用戶信息，然后下一步是拿它來販賣或者是拿來做一些犯法的事情。

王越建議，對于官方站點和安全問題反饋平臺來說，都應進一步加強自身安全防護，不給黑客可乘之機。

王越：覺得一方面是12306這種官方的站點不能只是把功能放上來就實現了為網民為百姓服務的效果，應該更多地考慮互聯網實際運用中可能出現的一些狀況。另一方面烏云這種網站也不能太互聯網化，他們只考慮把問題公開出來了，并沒有太好的做一些相應的防護，如果有人利用它做攻擊也很容易。

既然漏洞的確存在，也很可能給了一些人可乘之機，春運在即，希望有關方面能夠真正徹底堵上漏洞、消除風險，給大家創造一個安全、公平的網絡購票環境。昨天，鐵路部門也公布最新的2014年春運日程，新一輪春運從1月16號開始，2月24號結束。期間火車票預售期與日常相同。其中，互聯網、電話訂票預售期為20天，也就是說，12月28號發售春運第一天的車票；車站窗口、代售點、自動售票機預售期為18天，12月30號發售春運第一天的車票。特別要提醒的是，春運期間加開臨客的預售期分別要再提前5天。

此外，為了引導旅客增強購票計劃性，有別于日常采取的梯次退票方案，春運期間，鐵路部門對因旅客原因辦理車票改簽，且改簽后車票的乘車日期在春運期間的，退票的時候一律按票面票價的20%核收退票費。

也就是說我們在購票之前這回一定要考慮好了。除了在網上購買火車票，還有一個最新的信息是，今天，鐵路部門的官方手機購票客戶端——“鐵路12306”也將上線試運行。這個客戶端支持列車信息查詢，還可以在手機上直接購買火車票。安卓和蘋果系統的手機用戶都可以免費下載，有興趣的朋友不妨嘗試一下。(記者侯艷劉玉蕾)