【億邦動力網(wǎng)訊】世人對于鐵道部的信心再度一夜之間擱淺。

無數(shù)期待能在國慶節(jié)期間訂到火車票的用戶在苦苦守候12306.cn中感到失望透頂。對于這個曾被內(nèi)部人士估值超過百億的鐵路訂票系統(tǒng)，并沒有改變線下一票難求的局面，反而每當(dāng)運輸高峰時，便呈現(xiàn)出一幅“任爾東南西北風(fēng)”的姿態(tài)，在緩慢中爬行。面對如此的電商網(wǎng)站，能夠訂到票的人已屬萬幸；訂不到票的人只能憤懣的吐槽；更可怕的是，12306還會不知不覺的泄露很多為人不知的內(nèi)部機密。

管理不善致內(nèi)部敏感信息泄露

讓人難以置信的是，偌大的一家國有電商網(wǎng)站，卻漏洞百出。

據(jù)第三方漏洞報告平臺“烏云”9月18日發(fā)布的監(jiān)測信息顯示，12306訂票系統(tǒng)存在嚴重的用戶密碼泄露問題，用戶密碼可被任意修改。該漏洞危害等級被評為高等，漏洞類型屬于設(shè)計缺陷和邏輯錯誤。

12306被指可隨意修改用戶密碼

不過該消息尚未被廠商確認處理。而億邦動力網(wǎng)登陸12306后發(fā)現(xiàn)，如若修改賬戶密碼，可通過注冊時登記的電子郵件或密碼提示問題兩種渠道修改密碼，但前提是必須獲取該賬戶的注冊郵箱或密碼提示答案。

那么，在不能獲知注冊信息的前提下，按照正規(guī)的修改密碼流程，12306賬戶尚不存在隨意修改密碼的可能性。

這可能是某個用戶在惡搞——那些被問題頻出的12306惹惱的人只能通過這樣的方式來發(fā)泄一番。但億邦動力網(wǎng)卻發(fā)現(xiàn)，在烏云平臺上，從2012年2月份至今，關(guān)于12306的制造廠商中國鐵道科學(xué)研究院的設(shè)計漏洞，曾先后被提交了9次之多。包括賬戶體系控制不嚴、系統(tǒng)或服務(wù)運維配置不當(dāng)、SQL注射漏洞等，基本上都得到了廠商的確認。

值得注意的是，其中一項為12306網(wǎng)站域名存在漏洞，由于運維管理不完善，員工意識不足，造成內(nèi)部敏感系統(tǒng)對外開放，內(nèi)部辦公信息及內(nèi)部郵件地址泄漏，甚至?xí)?dǎo)致IT系統(tǒng)被攻入，包括域名被惡意劫持。

億邦動力網(wǎng)從“烏云”提供的線索看到，名為劉剛的注冊人于2003年3月份注冊了12#的域名，注冊公司為中華人民共和國鐵道部。隨后，“烏云”按照該注冊人姓名及默認密碼123（顯然該用戶未修改）順利登錄了中鐵信息工程集團信息辦公平臺，包括集團所有員工個登記人信息、內(nèi)部通告、考勤、財務(wù)信息、醫(yī)療保障等資料均一覽無余。此外，該注冊人劉剛隸屬高級用戶，有權(quán)在CRM系統(tǒng)里對上述信息進行查詢、編輯、修改以及刪除。

隨后，億邦動力網(wǎng)試圖打開中鐵信息工程集團的官方網(wǎng)站加以驗證，但被提示頁面錯誤，已無法打開。

本文轉(zhuǎn)載自億邦動力網(wǎng)