央廣網(wǎng)北京7月18日消息（記者唐明 實習(xí)記者高芳婧）據(jù)經(jīng)濟(jì)之聲《天下公司》報道，時值暑假，扶不起的12306又被曝出存在安全漏洞。

　　在烏云漏洞平臺上，一位匿名人士曝光12306漏洞稱：“12306手機端APP 每次請求服務(wù)器都由手機調(diào)用數(shù)據(jù)庫，根據(jù)傳入的數(shù)據(jù)來生成一個加密字串用于提交服務(wù)器驗證是否非法。目前這種算法已經(jīng)泄露，以致可能會有人利用這種算法軟件模擬手機端來非法囤積車票。

　　換句話說，黃牛破解漏洞以后，一個人就可以把整節(jié)車廂的票買下來。

　　對此，《天下公司》打電話向12306的客服進(jìn)行求證，但是客服表示還沒有聽說這個消息。

　　12306：咱們現(xiàn)在還沒有聽說您說的這個事情，沒有這個通知。

　　360的網(wǎng)絡(luò)安全專家安揚表示12306客戶端的算法泄漏，意味著“黃牛”可以用電腦軟件，模擬多部手機多賬號進(jìn)行購票操作，黑客通過軟件漏洞搶到大量的票，妨礙到了正常人購票。

　　安揚：12306的手機客戶端它有一個限制就是同一臺設(shè)備，同一個時間只能登陸一個賬號，限制的方法是根據(jù)設(shè)備的ID和時間戳，經(jīng)過一個算法算出校驗值跟服務(wù)器驗證，驗證通過之后就可以進(jìn)行操作。因為算法沒有做相關(guān)的保護(hù)，因而可以被黑客逆向出來，也可以被黑客直接拿來使用。也就是說黑客可以通過逆向的算法，在電腦上用軟件來模擬多部手機、多個賬號來登陸，以此來搶大量的票。本來應(yīng)該屬于其他人的票都被票販子搶光了。

　　《天下公司》從一些技術(shù)博客上了解到，關(guān)于12306手機端算法的分析文章已發(fā)布超過半年時間，這些漏洞很可能被不法分子利用制作刷票插件，掠奪車票資源，正常用戶在春運等高峰期購票會更加困難。

　　12306鐵路購票系統(tǒng)這個花了幾億人民幣建成的項目已經(jīng)不是第一次出現(xiàn)這樣的漏洞了，從2011年系統(tǒng)誕生到現(xiàn)在，三年左右的時間不斷出現(xiàn)各種問題。之前就有熟知鐵路退票流程的“黃牛”，用自己和親友的身份證購買多張車票，物色到買主后再選擇退票，并立即用買主身份證“秒殺刷票”，通過這種銜接極快的“一退一買”，火車票就順利地從票販子手中變成了旅客的車票。

　　不僅如此，因為12306網(wǎng)站并沒有與公安系統(tǒng)聯(lián)網(wǎng)，無法對身份證號等信息進(jìn)行審核，因此12306網(wǎng)站無法檢測身份信息真?zhèn)�。所以在任何一種瀏覽器上，都可以用假身份證號碼和任意編造的諸如“金剛葫蘆娃”、“女神”等網(wǎng)名成功購票。

　　對于這些漏洞，網(wǎng)絡(luò)安全專家安揚表示修復(fù)這些漏洞并不需要很大的成本。

　　安楊：漏洞的解決不需要太大的成本，因為只是需要更新一下客戶端來修復(fù)漏洞，也就是更新一下算法，讓票販子大量囤積車票的手段失效。

　　其實12306也在做修復(fù)。此前，針對各種搶票軟件頻繁出現(xiàn)的情況，12306還推出了升級之后的動態(tài)驗證碼。結(jié)果卻由于辨別難度偏高，用戶體驗不佳，被網(wǎng)民調(diào)侃像畢加索的抽象畫。

　　網(wǎng)絡(luò)安全專家安揚表示出現(xiàn)問題是在所難免的，但是就這次的問題來看，的確是12306的工作人員安全意識有些薄弱了。

　　安楊：12306也不可避免會出現(xiàn)這樣的問題，但是僅就這個漏洞來判斷，可能是開發(fā)人員的安全意識比較薄弱，因為他把算法放在庫里沒有進(jìn)行任何保護(hù)，實際上還是需要不斷強化安全意識，對產(chǎn)品做更嚴(yán)格的安全審計，然后再發(fā)布出來，這樣可能會更好。