12306系统被指本月连曝6个漏洞简单且低级

本篇文章1788字，读完约4分钟

针对近期媒体和网民对国家铁路新一代售票系统招标的关注，铁道部宣传部昨日(9月28日)下午回复了《国家商报》记者。

然而，在又一波动荡之后，9月27日晚，铁道部官方订票网站12306的网上订票系统暴露出低级漏洞。

漏洞被认为是简单和低级的

中国权威漏洞报告平台五云发布了一个名为“12306漏洞一包”的漏洞，相关制造商是中国铁道科学研究院。吴云指出，在国庆前的预订高峰期，12306也进入了漏洞频发的高峰期。这是自今年9月以来12306中的第六个漏洞。

五云科技负责人也告诉《国家商报》记者，半个月前12306暴露了一个漏洞，可能直接危及持票人的信息安全。系统开发商中国铁道科学研究院不敢将这些低级漏洞归咎于自己。

9月27日，一位名叫“乔依”的网友在五云网站上提交了一份漏洞报告——漏洞包12306，危害等级为“高”。随后，中国铁道科学研究院确认并回复“在修”。

据五云网站的技术总监说，从安全性的角度来看，这样的漏洞有点简单和低级。“在通用网站上线之前，公司将对系统进行一系列严格的测试，这样就可以避免这个简单的错误和漏洞。12306暴露了低级错误，表明缺乏这种检测措施。”

自9月份以来，已经暴露了六个漏洞

据五云网站统计，自今年2月以来，除6月和8月外，几乎每个月都有12306个漏洞被曝光，自9月以来，已有多达6个漏洞被曝光。然而，半个月前，12306有一个漏洞，说12306系统改变了任何密码，这可能导致信息泄漏的持票人。

根据12306暴露的漏洞类型，主要有sql注入漏洞、账户系统控制不严、系统/服务运行维护配置不当、设计缺陷/逻辑错误。其中，sql注入漏洞占78%。

由于铁道部实行实名制购票，低级安全漏洞的出现令许多购票人担忧。

与此同时，这份低级别的漏洞报告也让系统开发者中国铁道科学研究院浮出水面，因为所有与漏洞相关的12306制造商都是这个研究所的名字。

据公开信息，中国铁道科学研究院成立于1950年3月1日，2002年由事业单位转变为铁道部直属的大型科技企业。在铁道科学研究院的官方网站上，铁道部的一个先进小组引起了记者的注意。该小组是“铁路客票销售与预订系统项目组”，成立于1996年，是铁路客票系统最早的发展时期。

数据显示，承担开发建设中国铁路售票系统任务的整体团队由中国铁道科学研究院、北方交通大学、长沙铁道学院、上海铁道大学、西南交通大学、华东交通大学、大连铁道学院、兰州铁道学院、石家庄铁道学院及相关铁路局的一批科技精英组成，历时4年开发完成。

然而，当《国家商报》记者昨天致电项目组组长兼研究员时，该学院实际上说"没有这样的人"。

铁道部没有透露核心细节

昨天下午，铁道部宣传部回复了本报记者此前关于客票系统招标的采访信，称“共有7家单位购买了招标文件，在招标文件售出20天后，该项目在北京开盘，共有5家投标人提交了招标文件，均满足本次招标合格投标人的要求。北京方正公证处对开标过程进行了现场公证。”

据铁道部介绍，12306新一代票务系统招标项目分为两个独立的包，主要包括12306网站、客服网站、客服语音、互联网接入安全、电子支付平台、系统网络、列车服务、营销决策、系统监控、系统测试环境、销售点接入安全、机房环境等配套软硬件设备的采购和建设。

据铁道部介绍，本次招标依法成立的评标委员会按照招标文件确定的评标方法进行了综合评价。铁道部信息技术中心根据评标委员会的评标报告和中标建议，确定报价最低、得分最高的太极计算机有限公司和同方(600100)有限公司为中标单位。评标结果在招标代理机构网站上依法公示3个工作日无异议后，向中标单位发出中标通知书。

但是，记者在此回复中发现，除了久已为公众所熟知的太极计算机有限公司和同方有限公司外，该回复并未涉及其他投标人的姓名、报价和投标流程等核心信息。

通过对比发现，铁道部宣传部的回复内容并未超过中国采购招标网上已经公示的“招标公示”。没有足够的资料证明中标人是否以“最低报价、最高得分”中标。

北京交通大学教授赵建认为，除了中标的太极计算机有限公司和同方股份有限公司之外，其他参与投标的企业的信息也应该公布。

他指出，铁路售票系统的售票管理应该借鉴航空公司空售票的模式，引入市场化管理，跟上市场技术的变化，改革相关机构，然后相关企业进行招投标和售票，以改变售票系统受到批评的现状。