央廣網(wǎng)北京7月18日消息（記者唐明 實(shí)習(xí)記者高芳婧）據(jù)經(jīng)濟(jì)之聲《天下公司》報(bào)道，時(shí)值暑假，扶不起的12306又被曝出存在安全漏洞。

　　在烏云漏洞平臺上，一位匿名人士曝光12306漏洞稱：“12306手機(jī)端APP 每次請求服務(wù)器都由手機(jī)調(diào)用數(shù)據(jù)庫，根據(jù)傳入的數(shù)據(jù)來生成一個(gè)加密字串用于提交服務(wù)器驗(yàn)證是否非法。目前這種算法已經(jīng)泄露，以致可能會有人利用這種算法軟件模擬手機(jī)端來非法囤積車票。

　　換句話說，黃牛破解漏洞以后，一個(gè)人就可以把整節(jié)車廂的票買下來。

　　對此，《天下公司》打電話向12306的客服進(jìn)行求證，但是客服表示還沒有聽說這個(gè)消息。

　　12306：咱們現(xiàn)在還沒有聽說您說的這個(gè)事情，沒有這個(gè)通知。

　　360的網(wǎng)絡(luò)安全專家安揚(yáng)表示12306客戶端的算法泄漏，意味著“黃�！笨梢杂秒娔X軟件，模擬多部手機(jī)多賬號進(jìn)行購票操作，黑客通過軟件漏洞搶到大量的票，妨礙到了正常人購票。

　　安揚(yáng)：12306的手機(jī)客戶端它有一個(gè)限制就是同一臺設(shè)備，同一個(gè)時(shí)間只能登陸一個(gè)賬號，限制的方法是根據(jù)設(shè)備的ID和時(shí)間戳，經(jīng)過一個(gè)算法算出校驗(yàn)值跟服務(wù)器驗(yàn)證，驗(yàn)證通過之后就可以進(jìn)行操作。因?yàn)樗惴�沒有做相關(guān)的保護(hù)，因而可以被黑客逆向出來，也可以被黑客直接拿來使用。也就是說黑客可以通過逆向的算法，在電腦上用軟件來模擬多部手機(jī)、多個(gè)賬號來登陸，以此來搶大量的票。本來應(yīng)該屬于其他人的票都被票販子搶光了。

　　《天下公司》從一些技術(shù)博客上了解到，關(guān)于12306手機(jī)端算法的分析文章已發(fā)布超過半年時(shí)間，這些漏洞很可能被不法分子利用制作刷票插件，掠奪車票資源，正常用戶在春運(yùn)等高峰期購票會更加困難。

　　12306鐵路購票系統(tǒng)這個(gè)花了幾億人民幣建成的項(xiàng)目已經(jīng)不是第一次出現(xiàn)這樣的漏洞了，從2011年系統(tǒng)誕生到現(xiàn)在，三年左右的時(shí)間不斷出現(xiàn)各種問題。之前就有熟知鐵路退票流程的“黃�！保�用自己和親友的身份證購買多張車票，物色到買主后再選擇退票，并立即用買主身份證“秒殺刷票”，通過這種銜接極快的“一退一買”，火車票就順利地從票販子手中變成了旅客的車票。

　　不僅如此，因?yàn)?2306網(wǎng)站并沒有與公安系統(tǒng)聯(lián)網(wǎng)，無法對身份證號等信息進(jìn)行審核，因此12306網(wǎng)站無法檢測身份信息真?zhèn)巍Ｋ�以在任何一種瀏覽器上，都可以用假身份證號碼和任意編造的諸如“金剛葫蘆娃”、“女神”等網(wǎng)名成功購票。

　　對于這些漏洞，網(wǎng)絡(luò)安全專家安揚(yáng)表示修復(fù)這些漏洞并不需要很大的成本。

　　安楊：漏洞的解決不需要太大的成本，因?yàn)橹皇切枰�更新一下客戶端來修�?fù)漏洞，也就是更新一下算法，讓票販子大量囤積車票的手段失效。

　　其實(shí)12306也在做修復(fù)。此前，針對各種搶票軟件頻繁出現(xiàn)的情況，12306還推出了升級之后的動態(tài)驗(yàn)證碼。結(jié)果卻由于辨別難度偏高，用戶體驗(yàn)不佳，被網(wǎng)民調(diào)侃像畢加索的抽象畫。

　　網(wǎng)絡(luò)安全專家安揚(yáng)表示出現(xiàn)問題是在所難免的，但是就這次的問題來看，的確是12306的工作人員安全意識有些薄弱了。

　　安楊：12306也不可避免會出現(xiàn)這樣的問題，但是僅就這個(gè)漏洞來判斷，可能是開發(fā)人員的安全意識比較薄弱，因?yàn)樗�把算法放在庫里沒有進(jìn)行任何保護(hù)，實(shí)際上還是需要不斷強(qiáng)化安全意識，對產(chǎn)品做更嚴(yán)格的安全審計(jì)，然后再發(fā)布出來，這樣可能會更好。