实时滚动新闻

铁道部12306系统被指本月连曝6低级漏洞

  王雅洁 每经记者 李文艺发自北京、成都

  针对近期媒体和网民关心的全国铁路新一代客票系统招标问题,昨日(9月28日)下午,铁道部宣传处对《每日经济新闻》记者作出回应。

  但一波未平一波又起,9月27日晚,铁道部官方订票网站12306网上订票系统又被曝出现低级漏洞。

  漏洞被指简单且低级

  国内权威漏洞报告平台“乌云”发布了一份名为 “12306漏洞一包裹”的漏洞,相关厂商为中国铁道科学研究院。乌云指出,在国庆节前订票高峰期,12306也进入了漏洞频发高峰期。这是今年9月份以来,12306出现的第6个漏洞。

  乌云技术负责人还告诉 《每日经济新闻》记者,半月前12306曾曝出一起漏洞,可能直接危害到订票人的信息安全。这些低级漏洞的出现,系统开发方中国铁道科学研究院恐难辞其咎。

  9月27日,一名叫“qiaoy”的网友在乌云网站上提交了一个漏洞报告——12306漏洞一包裹,危害等级为“高”。随后,中国铁道科学研究院确认并回复“修补中”。

  乌云网站技术负责人透露,从安全的角度看,这样的漏洞有点简单和低级。“一般网站上线前,公司都会对系统进行系列的严格的测试,所以这种简单的错误和漏洞就会避免。12306曝出低级错误,说明缺乏这种检测措施。”

  9月份以来曝出6个漏洞

  乌云网站统计数据显示,12306从今年2月份开始,除了6月和8月,几乎每月都有漏洞报告,9月份以来竟然曝出高达6个漏洞。而在半个月前12306的确出现一个漏洞,称12306系统修改任意密码,有可能会导致订票人信息泄露。

  从12306曝出的漏洞类型看,主要为SQL注射漏洞、账户体系控制不严、系统/服务运维配置不当、设计缺陷/逻辑错误,其中,SQL注射漏洞这一类型的漏洞最多的,比例达到78%。

  由于铁道部实行购票实名制,低级安全漏洞的出现让不少订票者感到了担忧。

  同时,这份低级漏洞报告,也让系统开发方中国铁道科学研究院浮出水面,因为12306所有的漏洞相关厂商都是该学院的名称。

  公开资料显示,中国铁道科学研究院成立于1950年3月1日,2002年由事业单位转制为铁道部直属大型科技企业。在铁道科学研究院的官网上,一个铁道部先进集体引起了记者的注意,该集体正是“全路客票发售和预订系统项目组”,于1996年组建而成,这个时间正是铁路客票系统最早期的开发时间。

  资料显示,承担开发建设中国铁路客票发售和预订系统任务的总体组,组员为抽调集中了中国铁道科学研究院、北方交通大学、长沙铁道学院、上海铁道大学、西南交通大学、华东交通大学、大连铁道学院、兰州铁道学院、石家庄铁道学院及有关铁路局一批科技精英,历时4年时间开发。

  不过,《每日经济新闻》记者昨日打电话联系该项目组的组长和研究员时,学院方面竟表示“查无此人”。

  铁道部说明未涉及核心细节

  昨日下午,针对本报记者此前有关客票系统招标问题的采访函,铁道部宣传处回应表示,“共有7家单位购买了招标文件,标书售出20天后,项目在北京公开开标,共有5家投标人递交了投标文件,并且均满足本次招标合格投标人条件。北京市方正公证处对开标过程进行了现场公证。”

  铁道部称,12306新一代客票系统的招投标项目分为两个独立的包件,内容主要包括12306网站售票、客服网站、客服语音、互联网接入安全、电子支付平台、系统网络、列车服务、营销决策、系统监控、系统测试环境、代售点接入安全、机房环境等系统配套软硬件设备的采购及建设。

  铁道部表示,此次招投标依法组建的评标委员会依据招标文件确定的评标办法进行了综合评分。铁道部信息技术中心依据评标委员会的评标报告及授标建议,确认在两个包件中分别报价最低、得分最高的太极计算机股份有限公司、同方股份有限公司为中标单位。评标结果依法在招标代理网站上公示满3个工作日无异议后,向中标单位发出了中标通知书。

  但记者发现,在这份回复中,除了公布早已被大众熟知的太极计算机股份有限公司、同方股份有限公司之外,该回复并没有涉及其他投标人的名称、报价及竞标过程等核心信息。

  经过对比发现,铁道部宣传处的回复内容并未超出中国采购与招标网上已经公示的《招标公示》。中标方是否是以 “最低报价、最高得分”获标,并没有充分的信息能够佐证。

  北京交通大学教授赵坚认为,除了公布中标的太极计算机股份有限公司、同方股份有限公司之外,其他参与竞标的企业信息也应该公布。

  他指出,要想改变客票系统备受诟病的现状,铁路客票系统售票的管理应该参考航空售票的模式,引入市场化管理,跟上市场技术的变化,对相关的事业单位进行改制,再由相关的企业来操作招投标、售票等。

 

相关新闻:

 
赞助商链接
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
用户名: 密码: 验证码:

新 闻

推荐排行热点
  1. 1高档水果签收后发现被调包 速尔快递查不出原
  2. 2德邦物流摔碎天价老酒遭百万元索赔
  3. 3圆通快递工作失误致万元海参被他人签收
  4. 4白加黑等感冒药一次限购数量从5盒降至2盒
  5. 5质检总局:艾丽斯等24种电动自行车抽检不合格
  6. 6京沪高铁大量列车延误 因突发信号设备故障
  7. 7天下收藏节目引争议 王刚砸赝品被疑砸不少珍
  8. 8富贵娃新潮等31种玩具存缺陷 质检总局责令召
  9. 9首发集团超期收费 80名被淹受害车主索赔无门
  10. 101.5万雷达手表中轴生锈断裂 商家不退货引不满
  1. 1质检总局:艾丽斯等24种电动自行车抽检不合格
  2. 2记者调查称哈尔滨奢侈品仅口头保证 难辨真假
  3. 3假保健品延臻青胎盘素如何变身驻颜圣药
  4. 4“联合基因”涉嫌非法传销
  5. 5愚人节娱乐大众 "龅牙哥""茫
  6. 6呷哺呷哺服务差遭质疑 排队等候时间长
  7. 7新科空调维修怪象:售后人员私自篡改用户信息
  8. 8北京香山街边店查出不合格食品
  9. 9油价再涨燃油宝受追捧:进价5元卖50元
  10. 10铁道部月底拟推手机购火车票 可在线支付
  1. 1黄金周出行忙 旅游网站投诉汇总
  2. 2手机无上网功能 移动为何还收流量费
  3. 38月投诉报告:空调维修故障高发期
  4. 4天语手机充电被烧焦 受潮不保修
  5. 5志高空调制冷效果差 安装漏洞百出
  6. 6创维电视保修期内维修收费
  7. 7返利网站不返利 多数涉嫌欺骗
  8. 8小米降价700遭投诉 一代用户很受伤
  9. 9戴尔笔记本长“斑”厂家认定“物理损坏”
  10. 10苏宁易购频遭投诉 解决问题不及时
中国质量万里行 | 联系我们 | 网站地图 | 广告服务 | 服务声明 | 招聘信息
Copyright © 2002 - 2012 京ICP备1200455号