【億邦動(dòng)力網(wǎng)訊】世人對(duì)于鐵道部的信心再度一夜之間擱淺。

無(wú)數(shù)期待能在國(guó)慶節(jié)期間訂到火車(chē)票的用戶在苦苦守候12306.cn中感到失望透頂。對(duì)于這個(gè)曾被內(nèi)部人士估值超過(guò)百億的鐵路訂票系統(tǒng)，并沒(méi)有改變線下一票難求的局面，反而每當(dāng)運(yùn)輸高峰時(shí)，便呈現(xiàn)出一幅“任爾東南西北風(fēng)”的姿態(tài)，在緩慢中爬行。面對(duì)如此的電商網(wǎng)站，能夠訂到票的人已屬萬(wàn)幸；訂不到票的人只能憤懣的吐槽；更可怕的是，12306還會(huì)不知不覺(jué)的泄露很多為人不知的內(nèi)部機(jī)密。

管理不善致內(nèi)部敏感信息泄露

讓人難以置信的是，偌大的一家國(guó)有電商網(wǎng)站，卻漏洞百出。

據(jù)第三方漏洞報(bào)告平臺(tái)“烏云”9月18日發(fā)布的監(jiān)測(cè)信息顯示，12306訂票系統(tǒng)存在嚴(yán)重的用戶密碼泄露問(wèn)題，用戶密碼可被任意修改。該漏洞危害等級(jí)被評(píng)為高等，漏洞類型屬于設(shè)計(jì)缺陷和邏輯錯(cuò)誤。

12306被指可隨意修改用戶密碼

不過(guò)該消息尚未被廠商確認(rèn)處理。而億邦動(dòng)力網(wǎng)登陸12306后發(fā)現(xiàn)，如若修改賬戶密碼，可通過(guò)注冊(cè)時(shí)登記的電子郵件或密碼提示問(wèn)題兩種渠道修改密碼，但前提是必須獲取該賬戶的注冊(cè)郵箱或密碼提示答案。

那么，在不能獲知注冊(cè)信息的前提下，按照正規(guī)的修改密碼流程，12306賬戶尚不存在隨意修改密碼的可能性。

這可能是某個(gè)用戶在惡搞——那些被問(wèn)題頻出的12306惹惱的人只能通過(guò)這樣的方式來(lái)發(fā)泄一番。但億邦動(dòng)力網(wǎng)卻發(fā)現(xiàn)，在烏云平臺(tái)上，從2012年2月份至今，關(guān)于12306的制造廠商中國(guó)鐵道科學(xué)研究院的設(shè)計(jì)漏洞，曾先后被提交了9次之多。包括賬戶體系控制不嚴(yán)、系統(tǒng)或服務(wù)運(yùn)維配置不當(dāng)、SQL注射漏洞等，基本上都得到了廠商的確認(rèn)。

值得注意的是，其中一項(xiàng)為12306網(wǎng)站域名存在漏洞，由于運(yùn)維管理不完善，員工意識(shí)不足，造成內(nèi)部敏感系統(tǒng)對(duì)外開(kāi)放，內(nèi)部辦公信息及內(nèi)部郵件地址泄漏，甚至?xí)?dǎo)致IT系統(tǒng)被攻入，包括域名被惡意劫持。

億邦動(dòng)力網(wǎng)從“烏云”提供的線索看到，名為劉剛的注冊(cè)人于2003年3月份注冊(cè)了12#的域名，注冊(cè)公司為中華人民共和國(guó)鐵道部。隨后，“烏云”按照該注冊(cè)人姓名及默認(rèn)密碼123（顯然該用戶未修改）順利登錄了中鐵信息工程集團(tuán)信息辦公平臺(tái)，包括集團(tuán)所有員工個(gè)登記人信息、內(nèi)部通告、考勤、財(cái)務(wù)信息、醫(yī)療保障等資料均一覽無(wú)余。此外，該注冊(cè)人劉剛隸屬高級(jí)用戶，有權(quán)在CRM系統(tǒng)里對(duì)上述信息進(jìn)行查詢、編輯、修改以及刪除。

隨后，億邦動(dòng)力網(wǎng)試圖打開(kāi)中鐵信息工程集團(tuán)的官方網(wǎng)站加以驗(yàn)證，但被提示頁(yè)面錯(cuò)誤，已無(wú)法打開(kāi)。

本文轉(zhuǎn)載自億邦動(dòng)力網(wǎng)