針對近期媒體和網(wǎng)民關(guān)心的全國鐵路新一代客票系統(tǒng)招標問題,昨日(9月28日)下午,鐵道部宣傳處對《每日經(jīng)濟新聞》記者作出回應(yīng)。
但一波未平一波又起,9月27日晚,鐵道部官方訂票網(wǎng)站12306網(wǎng)上訂票系統(tǒng)又被曝出現(xiàn)低級漏洞。
漏洞被指簡單且低級
國內(nèi)權(quán)威漏洞報告平臺“烏云”發(fā)布了一份名為 “12306漏洞一包裹”的漏洞,相關(guān)廠商為中國鐵道科學研究院。烏云指出,在國慶節(jié)前訂票高峰期,12306也進入了漏洞頻發(fā)高峰期。這是今年9月份以來,12306出現(xiàn)的第6個漏洞。
烏云技術(shù)負責人還告訴 《每日經(jīng)濟新聞》記者,半月前12306曾曝出一起漏洞,可能直接危害到訂票人的信息安全。這些低級漏洞的出現(xiàn),系統(tǒng)開發(fā)方中國鐵道科學研究院恐難辭其咎。
9月27日,一名叫“qiaoy”的網(wǎng)友在烏云網(wǎng)站上提交了一個漏洞報告——12306漏洞一包裹,危害等級為“高”。隨后,中國鐵道科學研究院確認并回復(fù)“修補中”。
烏云網(wǎng)站技術(shù)負責人透露,從安全的角度看,這樣的漏洞有點簡單和低級。“一般網(wǎng)站上線前,公司都會對系統(tǒng)進行系列的嚴格的測試,所以這種簡單的錯誤和漏洞就會避免。12306曝出低級錯誤,說明缺乏這種檢測措施。”
9月份以來曝出6個漏洞
烏云網(wǎng)站統(tǒng)計數(shù)據(jù)顯示,12306從今年2月份開始,除了6月和8月,幾乎每月都有漏洞報告,9月份以來竟然曝出高達6個漏洞。而在半個月前12306的確出現(xiàn)一個漏洞,稱12306系統(tǒng)修改任意密碼,有可能會導(dǎo)致訂票人信息泄露。
從12306曝出的漏洞類型看,主要為SQL注射漏洞、賬戶體系控制不嚴、系統(tǒng)/服務(wù)運維配置不當、設(shè)計缺陷/邏輯錯誤,其中,SQL注射漏洞這一類型的漏洞最多的,比例達到78%。
由于鐵道部實行購票實名制,低級安全漏洞的出現(xiàn)讓不少訂票者感到了擔憂。
同時,這份低級漏洞報告,也讓系統(tǒng)開發(fā)方中國鐵道科學研究院浮出水面,因為12306所有的漏洞相關(guān)廠商都是該學院的名稱。
公開資料顯示,中國鐵道科學研究院成立于1950年3月1日,2002年由事業(yè)單位轉(zhuǎn)制為鐵道部直屬大型科技企業(yè)。在鐵道科學研究院的官網(wǎng)上,一個鐵道部先進集體引起了記者的注意,該集體正是“全路客票發(fā)售和預(yù)訂系統(tǒng)項目組”,于1996年組建而成,這個時間正是鐵路客票系統(tǒng)最早期的開發(fā)時間。
資料顯示,承擔開發(fā)建設(shè)中國鐵路客票發(fā)售和預(yù)訂系統(tǒng)任務(wù)的總體組,組員為抽調(diào)集中了中國鐵道科學研究院、北方交通大學、長沙鐵道學院、上海鐵道大學、西南交通大學、華東交通大學、大連鐵道學院、蘭州鐵道學院、石家莊鐵道學院及有關(guān)鐵路局一批科技精英,歷時4年時間開發(fā)。
不過,《每日經(jīng)濟新聞》記者昨日打電話聯(lián)系該項目組的組長和研究員時,學院方面竟表示“查無此人”。
鐵道部說明未涉及核心細節(jié)
昨日下午,針對本報記者此前有關(guān)客票系統(tǒng)招標問題的采訪函,鐵道部宣傳處回應(yīng)表示,“共有7家單位購買了招標文件,標書售出20天后,項目在北京公開開標,共有5家投標人遞交了投標文件,并且均滿足本次招標合格投標人條件。北京市方正公證處對開標過程進行了現(xiàn)場公證。”
鐵道部稱,12306新一代客票系統(tǒng)的招投標項目分為兩個獨立的包件,內(nèi)容主要包括12306網(wǎng)站售票、客服網(wǎng)站、客服語音、互聯(lián)網(wǎng)接入安全、電子支付平臺、系統(tǒng)網(wǎng)絡(luò)、列車服務(wù)、營銷決策、系統(tǒng)監(jiān)控、系統(tǒng)測試環(huán)境、代售點接入安全、機房環(huán)境等系統(tǒng)配套軟硬件設(shè)備的采購及建設(shè)。
鐵道部表示,此次招投標依法組建的評標委員會依據(jù)招標文件確定的評標辦法進行了綜合評分。鐵道部信息技術(shù)中心依據(jù)評標委員會的評標報告及授標建議,確認在兩個包件中分別報價最低、得分最高的太極計算機股份有限公司、同方股份有限公司為中標單位。評標結(jié)果依法在招標代理網(wǎng)站上公示滿3個工作日無異議后,向中標單位發(fā)出了中標通知書。
但記者發(fā)現(xiàn),在這份回復(fù)中,除了公布早已被大眾熟知的太極計算機股份有限公司、同方股份有限公司之外,該回復(fù)并沒有涉及其他投標人的名稱、報價及競標過程等核心信息。
經(jīng)過對比發(fā)現(xiàn),鐵道部宣傳處的回復(fù)內(nèi)容并未超出中國采購與招標網(wǎng)上已經(jīng)公示的《招標公示》。中標方是否是以 “最低報價、最高得分”獲標,并沒有充分的信息能夠佐證。
北京交通大學教授趙堅認為,除了公布中標的太極計算機股份有限公司、同方股份有限公司之外,其他參與競標的企業(yè)信息也應(yīng)該公布。
他指出,要想改變客票系統(tǒng)備受詬病的現(xiàn)狀,鐵路客票系統(tǒng)售票的管理應(yīng)該參考航空售票的模式,引入市場化管理,跟上市場技術(shù)的變化,對相關(guān)的事業(yè)單位進行改制,再由相關(guān)的企業(yè)來操作招投標、售票等。
推薦閱讀
谷歌股價在第三季度的大幅飆升,在所有標準普爾500指數(shù)成份股當中為股指上漲做出的貢獻排名第二,僅次于蘋果。谷歌當季股價的上漲,也同今年上半年的股價走勢形成鮮明對比。當時,谷歌的股價表現(xiàn)尚遠遜于整體市>>>詳細閱讀
本文標題:12306系統(tǒng)本月連曝6個漏洞:簡單且低級
地址:http://m.sdlzkt.com/a/guandian/yejie/20121229/113086.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示