新浪首页|新浪上海|城事|时尚|旅游|美食|汽车|投诉|站点导航|惠购

|邮箱|注册

新浪上海

新浪上海> 城事>本地>黄牛10分钟抢千张火车票 市民质疑为何不改漏洞

黄牛10分钟抢千张火车票 市民质疑为何不改漏洞

A-A+2014年1月10日09:12新闻晨报评论

  [12306网站漏洞 ]

  ■身份信息无法验证

  ■付款时效并未执行

  ■退票流程过于简单

  晨报记者 宋杰

  普通旅客刷几个小时抢不到一张回家票,而黄牛利用抢票软件竟10分钟内几乎淘空整列车的车票……今日起,网络、电话已可以购买小年夜的车票,春运售票也将在今日迎来最高峰,明日起春运节前售票高峰将过去。但在此节骨眼上,12306再次掉链子,很多人对此表示不解,因为12306网站身份验证漏洞之前已被曝光过,但不知为何铁路部门仍不能采取有效措施。

  付费软件以毫秒速度刷票

  前天,央视报道了一则春运期间网络黄牛囤票案例,和现在很多软件公司推出的帮助旅客抢票的软件不同,黄牛利用收费的“企业版抢票软件”,用假身份证信息十分钟就能刷走1245张火车票。

  据了解,这种付费抢票软件,企业版每月需付费2000-3000元,它破解了12306网站每5秒钟刷新一次的限制,以毫秒速度实时刷票,并可实现自动识别验证码。这种软件还可多账户挂机,黄牛利用前期得到的假身份证在12306网站注册成百上千账号批量刷票。

  前些时日,为了屏蔽国内各大网络浏览器开发商的抢票软件,12306可谓使出浑身解数,推出新版网站、升级验证码,并成功屏蔽多种抢票软件。没想到,明枪易躲、暗箭难防,12306的防抢票系统,最终还是被“黄牛党”攻破。

  身份证漏洞早已被曝光

  黄牛这一抢票系统利用的最大的漏洞是12306网站的身份证信息无法验证。而其实该漏洞在之前已被曝光,本报也曾报道《记者体验:身份证号随机生成名字随便取,照样能购票》。但是铁路部门只是例行回应,却未能有效改善。

  铁路部门前一段曾表示,对通过12306网站退回的车票,网站均采取计算机随机处理的方式,系统会根据距离车票开车时间的远近,在确保每一张车票有充足时间再次售出的前提下,随机将退回的车票再次放出,供旅客购买。当时对于该回应,就有旅客指出其是“避重就轻、答非所问”。“用假身份证买到票,已经占用了资源,用不能退票、换票来对付黄牛,也太无力了吧。”有市民表示。

  而现在该漏洞再次被黄牛利用,铁路部门不知何时能将该已知的漏洞修补好。

  铁路公安机关欲打击黄牛

  事实上,12306也应多听听社会各界的声音,也许能找到更多解决方案。

  猎豹浏览器工程师张琪表示,央视报道的黄牛软件声称破解了12306网站每5秒钟刷新一次的限制,以毫秒的速度实时刷票,他认为这种可能是存在的,该软件可能是越过12306网站直接访问了网站数据库。要防范黄牛,需推出多重措施。张琪建议,首先黄牛囤票的核心手法是利用批量假身份证购票,所以12306应该与公安机关进行身份证系统联网对接,用户注册和购票时,需提供真实有效的身份证信息。此外,12306可修改验证码机制,可以采用人工智能验证码。比如问题是,足球和乒乓球哪个大?答案是足球。1+3=几,答案是4。用户只需输入“足球”或者“4”就可以通过验证。这种验证码,机器极难自动回答。

  记者了解到,诸如猎豹浏览器等很多专业机构都很希望能给12306提供支持。

  还有业内人士分析,12306网站设置了45分钟的支付期,这段时间内不付款也可保留这张票,黄牛正是利用这一时间差反复抢票退票再抢,始终掌握这部分票。此外,在12306退票无任何验证流程。防黄牛倒票,关键要在退票流程上下工夫,比如设置同一账号一段时间的退票次数等,防止黄牛抢票后反复倒票。

  另据记者了解,铁路公安机关已采取措施,严厉打击网络黄牛恶意囤票倒票的不法行为。昨日,记者试图联系负责12306的铁科院,但是拨通其官网提供的联系电话后,对方却表示:“我们没有总机,无法联系到12306相关人员。”

 

保存|打印|关闭

新浪首页|新浪上海|城事|时尚|旅游|美食|汽车|投诉|健康|团购|站点导航

分享到微博 返回顶部