据中国之声《全国新闻联播》报道,新版中国铁路客户服务中心 12306 网站昨天(6 日)上线仅仅几个小时后,就被第三方漏洞报告平台“乌云”指出存在漏洞,可能导致用户信息泄露。铁路总公司今天回应:漏洞已修复。
乌云网站显示,漏洞可导致 12306 网站信息泄露,可查询,登录名、邮箱、姓名、身份证以及电话等隐私信息。此外,另一名网友也曝出“新版 12306 网站存在多个订票逻辑漏洞”,该漏洞可能导致后期订票软件泛滥,造成订票不公。
记者今天上午致电 12306 客服,得到的回复是并不知道此事,网站运行正常。
记者:有网站说,你们的新版网站存在安全漏洞,你们听说了吗?
12306 客服:没有提示,现在可以正常使用。您这是从哪个网站看到的?是从 12306 官方网站吗?
记者:是一个第三方漏洞报告平台,媒体也有报道。
12306 客服:建议您以 12306 官方网站为准,女士。
但是中午时分,记者从铁路总公司得到的回复是,“昨天当晚漏洞已经修复”。
作为一个位于厂商和安全研究者之间的安全问题反馈平台,乌云网曾因披露京东商城、支付宝、网易等著名互联网企业存在高危漏洞;如家酒店等开房信息泄露声名鹊起。
互联网专家王越表示,对于官方站点和安全问题反馈平台来说,都应进一步加强自身安全防护,不给黑客可乘之机。
王越:一方面是 12306 这种官方的站点不能只是把功能放上来,就实现了为网民为百姓服务的效果,应该更多地考虑互联网实际运用中可能出现的状况。另一方面,乌云这种网站也不能太互联网化,他们只考虑把问题公开出来了,并没有太多做一些相应的防护,如果有人利用它做攻击也很容易。