问诊12306之三:漏洞大,数亿用户信息可能外泄
【搜狐 IT 消息】(文/毛启盈)9月 28 日消息,昨晚网络曝出 12306 又一更严重问题被发现,其存在严重安全漏洞,有可能泄露用户信息,并且其他人可以通过该漏洞任意修改用户名和密码,进行订票、退票等操作。对此,搜狐 IT 走访行业安全方面的专家。通过对 12306 暴露出问题进行分析,专家称 12306 网站安全隐患已经达到非常严重的级别,如果不及时升级封堵,上亿用户信息可能外泄。
搜狐 IT 独家解剖 12306 网站结构图
曝出来的漏洞仅是冰山一角
针对网络曝出 12306 曝出安全漏洞,搜狐 IT 走访了网络安全专家、安全宝 CEO 马杰。马杰曾经是瑞星公司技术工程师,拥有 10 余年的安全方面经验。
网络安全专家、安全宝 CEO 马杰
马杰告诉搜狐 IT 说,“网络已曝出来的漏洞,还是比较一般的漏洞,还有最严重的漏洞,可以影响到它们整个数据库的安全,对已购买过票的用户,信息有一定的外泄风险。”
网民还是比较负责的态度,仅公开了其中一部分漏洞,白墨黑字和截图,却没有泄露更多的用户信息。马杰分析称,相比工商、税务、公安等信息系统来 说,12306也是一个非常重要的网站,关系到数以万计的民众,但是,其安全性还是比较差。比较资深的安全专家和比较厉害的黑客,可以进入数据库。“没有 授权,不方便进入,可能牵涉到大量的用户信息”。
“我们做过网站安全测试,90% 网站存在安全漏洞,其中 20-30% 存在严重安全漏洞。12306已达到最严重级别!”马杰说,作为一名技术人员,他从外围已经看到诸多漏洞。如果拥有相关机构授权,或者他可以当场给媒体演示其存在的问题。
此前,微博截图 12306 网站内部代码(如图),遭到大量网民的吐槽。马杰分析说,这些代码,比较初级,是造成网站慢原因的之一。因为类似“like、%”等的技术语言,是一种模 糊匹配,效率极其低下,一般的网站尽量少用这种匹配。“而网民能够轻而易举进去,从容截图,从侧面说明了其安全性不够。”
微博曝光 12306 网站内部代码截图
12306可能是一个“草台班子”
一位不愿透露姓名团购网站副总裁分析称,从这个网站的架构看,完全是一个不成熟的网站,最初设想也可能是“内部使用”,难以支撑上亿级别的访问量。
从外泄的代码看,“like、%”等的技术语言,这是以前将就访问量低于百万级别网站使用,稍微有技术常识的技术人员,不会使用这样的低级语言。
对此,马杰表示了同样的看法。他认为,类似 12306 这样的网站,应该有一个 30-40人的技术团队,而且,还要来自不同的层面研发。从目前其网站安全角度看,它猜测应该没有这么多不同层次水平的技术人员。
“标书”不应忽视信息安全
2011年底发生的 CSDN、天涯、人人网等用户信息泄密事件,2012年3.15晚会中披露的浦发银行、光大银行、工商银行、淘宝、京东商城等信息泄密,警钟长鸣!信息安 全触及着每一个人的神经。然而,涉及到上亿用户信息的 12306 却如此不堪一击,让专家们为之担忧。
但是,这次 12306 网的漏洞又让人们捏一把汗。 “双节”过后,会不会出现乘坐火车的个人信息外泄?如果 12306 不立即亡羊补牢,可能会后患无穷。一位安全领域专家对搜狐 IT 表示。
其实,此前铁道部 3 亿的招标升级系统引发了较大质疑。马杰对搜狐 IT 表示,尚不清楚招标项目中有没有包括安全厂商。“太极是一家优秀的软件集成商,应聚集这方面的人才,进行应对。”马杰说,如果通过一个防火墙的,恐怕能力 有限,因为涉及数据量非常大,恐怕承受不了。如果铁道部愿意系统开放,“安全宝公司可免费为其做‘黑盒’(外围)安全保障。”
对于 3 亿巨额招标之后,铁道部到底该如何运作 12306 系统?马杰认为,大家不应该将矛头对准铁道部,因为每个行业面临的现状都差不多。“不过,应该让负责网站运维的人,去做运维的事情,让负责安全的人去做安全的事情。 ”马杰说。