【億邦動力網訊】世人對于鐵道部的信心再度一夜之間擱淺。

無數期待能在國慶節期間訂到火車票的用戶在苦苦守候12306.cn中感到失望透頂。對于這個曾被內部人士估值超過百億的鐵路訂票系統，并沒有改變線下一票難求的局面，反而每當運輸高峰時，便呈現出一幅“任爾東南西北風”的姿態，在緩慢中爬行。面對如此的電商網站，能夠訂到票的人已屬萬幸；訂不到票的人只能憤懣的吐槽；更可怕的是，12306還會不知不覺的泄露很多為人不知的內部機密。

管理不善致內部敏感信息泄露

讓人難以置信的是，偌大的一家國有電商網站，卻漏洞百出。

據第三方漏洞報告平臺“烏云”9月18日發布的監測信息顯示，12306訂票系統存在嚴重的用戶密碼泄露問題，用戶密碼可被任意修改。該漏洞危害等級被評為高等，漏洞類型屬于設計缺陷和邏輯錯誤。

12306被指可隨意修改用戶密碼

不過該消息尚未被廠商確認處理。而億邦動力網登陸12306后發現，如若修改賬戶密碼，可通過注冊時登記的電子郵件或密碼提示問題兩種渠道修改密碼，但前提是必須獲取該賬戶的注冊郵箱或密碼提示答案。

那么，在不能獲知注冊信息的前提下，按照正規的修改密碼流程，12306賬戶尚不存在隨意修改密碼的可能性。

這可能是某個用戶在惡搞——那些被問題頻出的12306惹惱的人只能通過這樣的方式來發泄一番。但億邦動力網卻發現，在烏云平臺上，從2012年2月份至今，關于12306的制造廠商中國鐵道科學研究院的設計漏洞，曾先后被提交了9次之多。包括賬戶體系控制不嚴、系統或服務運維配置不當、SQL注射漏洞等，基本上都得到了廠商的確認。

值得注意的是，其中一項為12306網站域名存在漏洞，由于運維管理不完善，員工意識不足，造成內部敏感系統對外開放，內部辦公信息及內部郵件地址泄漏，甚至會導致IT系統被攻入，包括域名被惡意劫持。

億邦動力網從“烏云”提供的線索看到，名為劉剛的注冊人于2003年3月份注冊了12360.cn的域名，注冊公司為中華人民共和國鐵道部。隨后，“烏云”按照該注冊人姓名及默認密碼123（顯然該用戶未修改）順利登錄了中鐵信息工程集團信息辦公平臺，包括集團所有員工個登記人信息、內部通告、考勤、財務信息、醫療保障等資料均一覽無余。此外，該注冊人劉剛隸屬高級用戶，有權在CRM系統里對上述信息進行查詢、編輯、修改以及刪除。

隨后，億邦動力網試圖打開中鐵信息工程集團的官方網站加以驗證，但被提示頁面錯誤，已無法打開。

本文轉載自億邦動力網