12306系统被指本月连曝6个漏洞简单且低级

针对近期媒体和网民关心的全国铁路新一代客票系统招标问题，昨日(9月28日)下午，铁道部宣传处对《每日经济新闻》记者作出回应。
 
　　但一波未平一波又起，9月27日晚，铁道部官方订票网站12306网上订票系统又被曝出现低级漏洞。
 
　　漏洞被指简单且低级
 
　　国内权威漏洞报告平台“乌云”发布了一份名为 “12306漏洞一包裹”的漏洞，相关厂商为中国铁道科学研究院。乌云指出，在国庆节前订票高峰期，12306也进入了漏洞频发高峰期。这是今年9月份以来，12306出现的第6个漏洞。
 
　　乌云技术负责人还告诉 《每日经济新闻》记者，半月前12306曾曝出一起漏洞，可能直接危害到订票人的信息安全。这些低级漏洞的出现，系统开发方中国铁道科学研究院恐难辞其咎。
 
　　9月27日，一名叫“qiaoy”的网友在乌云网站上提交了一个漏洞报告——12306漏洞一包裹，危害等级为“高”。随后，中国铁道科学研究院确认并回复“修补中”。
 
　　乌云网站技术负责人透露，从安全的角度看，这样的漏洞有点简单和低级。“一般网站上线前，公司都会对系统进行系列的严格的测试，所以这种简单的错误和漏洞就会避免。12306曝出低级错误，说明缺乏这种检测措施。”
 
　　9月份以来曝出6个漏洞
 
　　乌云网站统计数据显示，12306从今年2月份开始，除了6月和8月，几乎每月都有漏洞报告，9月份以来竟然曝出高达6个漏洞。而在半个月前12306的确出现一个漏洞，称12306系统修改任意密码，有可能会导致订票人信息泄露。
 
　　从12306曝出的漏洞类型看，主要为SQL注射漏洞、账户体系控制不严、系统/服务运维配置不当、设计缺陷/逻辑错误，其中，SQL注射漏洞这一类型的漏洞较多的，比例达到78%。
 
　　由于铁道部实行购票实名制，低级安全漏洞的出现让不少订票者感到了担忧。
 
　　同时，这份低级漏洞报告，也让系统开发方中国铁道科学研究院浮出水面，因为12306所有的漏洞相关厂商都是该学院的名称。
 
　　公开资料显示，中国铁道科学研究院成立于1950年3月1日，2002年由事业单位转制为铁道部直属大型科技企业。在铁道科学研究院的官网上，一个铁道部先进集体引起了记者的注意，该集体正是“全路客票发售和预订系统项目组”，于1996年组建而成，这个时间正是铁路客票系统较早期的开发时间。
 
　　资料显示，承担开发建设中国铁路客票发售和预订系统任务的总体组，组员为抽调集中了中国铁道科学研究院、北方交通大学、长沙铁道学院、上海铁道大学、西南交通大学、华东交通大学、大连铁道学院、兰州铁道学院、石家庄铁道学院及有关铁路局一批科技精英，历时4年时间开发。
 
　　不过，《每日经济新闻》记者昨日打电话联系该项目组的组长和研究员时，学院方面竟表示“查无此人”。
铁道部说明未涉及核心细节
 
　　昨日下午，针对本报记者此前有关客票系统招标问题的采访函，铁道部宣传处回应表示，“共有7家单位购买了招标文件，标书售出20天后，项目在北京公开开标，共有5家投标人递交了投标文件，并且均满足本次招标合格投标人条件。北京市方正公证处对开标过程进行了现场公证。”
 
　　铁道部称，12306新一代客票系统的招投标项目分为两个独立的包件，内容主要包括12306网站售票、客服网站、客服语音、互联网接入安全、电子支付平台、系统网络、列车服务、营销决策、系统监控、系统测试环境、代售点接入安全、机房环境等系统配套软硬件设备的采购及建设。
 
　　铁道部表示，此次招投标依法组建的评标委员会依据招标文件确定的评标办法进行了综合评分。铁道部信息技术中心依据评标委员会的评标报告及授标建议，确认在两个包件中分别报价较低、得分较高的太极计算机股份有限公司、同方股份有限公司为中标单位。评标结果依法在招标代理网站上公示满3个工作日无异议后，向中标单位发出了中标通知书。
 
　　但记者发现，在这份回复中，除了公布早已被大众熟知的太极计算机股份有限公司、同方股份有限公司之外，该回复并没有涉及其他投标人的名称、报价及竞标过程等核心信息。
 
　　经过对比发现，铁道部宣传处的回复内容并未超出中国采购与招标网上已经公示的《招标公示》。中标方是否是以 “较低报价、较高得分”获标，并没有充分的信息能够佐证。
 
　　北京交通大学教授赵坚认为，除了公布中标的太极计算机股份有限公司、同方股份有限公司之外，其他参与竞标的企业信息也应该公布。
 
　　他指出，要想改变客票系统备受诟病的现状，铁路客票系统售票的管理应该参考航空售票的模式，引入市场化管理，跟上市场技术的变化，对相关的事业单位进行改制，再由相关的企业来操作招投标、售票等。