【亿邦动力网讯】世人对于铁道部的信心再度一夜之间搁浅。

无数期待能在国庆节期间订到火车票的用户在苦苦守候12306.cn中感到失望透顶。对于这个曾被内部人士估值超过百亿的铁路订票系统，并没有改变线下一票难求的局面，反而每当运输高峰时，便呈现出一幅“任尔东南西北风”的姿态，在缓慢中爬行。面对如此的电商网站，能够订到票的人已属万幸；订不到票的人只能愤懑的吐槽；更可怕的是，12306还会不知不觉的泄露很多为人不知的内部机密。

管理不善致内部敏感信息泄露

让人难以置信的是，偌大的一家国有电商网站，却漏洞百出。

据第三方漏洞报告平台“乌云”9月18日发布的监测信息显示，12306订票系统存在严重的用户密码泄露问题，用户密码可被任意修改。该漏洞危害等级被评为高等，漏洞类型属于设计缺陷和逻辑错误。

12306被指可随意修改用户密码

不过该消息尚未被厂商确认处理。而亿邦动力网登陆12306后发现，如若修改账户密码，可通过注册时登记的电子邮件或密码提示问题两种渠道修改密码，但前提是必须获取该账户的注册邮箱或密码提示答案。

那么，在不能获知注册信息的前提下，按照正规的修改密码流程，12306账户尚不存在随意修改密码的可能性。

这可能是某个用户在恶搞——那些被问题频出的12306惹恼的人只能通过这样的方式来发泄一番。但亿邦动力网却发现，在乌云平台上，从2012年2月份至今，关于12306的制造厂商中国铁道科学研究院的设计漏洞，曾先后被提交了9次之多。包括账户体系控制不严、系统或服务运维配置不当、SQL注射漏洞等，基本上都得到了厂商的确认。

12306被举报的安全漏洞

值得注意的是，其中一项为12306网站域名存在漏洞，由于运维管理不完善，员工意识不足，造成内部敏感系统对外开放，内部办公信息及内部邮件地址泄漏，甚至会导致IT系统被攻入，包括域名被恶意劫持。

亿邦动力网从“乌云”提供的线索看到，名为刘刚的注册人于2003年3月份注册了12360.cn的域名，注册公司为中华人民共和国铁道部。随后，“乌云”按照该注册人姓名及默认密码123（显然该用户未修改）顺利登录了中铁信息工程集团信息办公平台，包括集团所有员工个登记人信息、内部通告、考勤、财务信息、医疗保障等资料均一览无余。此外，该注册人刘刚隶属高级用户，有权在CRM系统里对上述信息进行查询、编辑、修改以及删除。

随后，亿邦动力网试图打开中铁信息工程集团的官方网站加以验证，但被提示页面错误，已无法打开。

12306域名注册人与中铁信息工程集团员工一致

中铁信息工程集团内部资料外泄

虽然不能判断官网报错与12306的信息泄露是否存在直接关联，但仍然暴露出泄露信息安全的危险存在。根据中铁信息工程集团对乌云的回复情况来看，已经确认该漏洞的存在。

此外，12306和中铁科学研究院还涉及诸多本应规避的系统隐患。譬如SQL注入攻击，是web开发中最为常见安全漏洞，便于黑客从数据库获取敏感信息等一系列恶意操作，甚至有可能获取数据库乃至系统最高权限。

而在今年早些时候，12306更是被用户指出无法识别同名信息的低级错误，即官网无法识别同名同姓用户，对用户名和密码相同的用户，暂无法识别区分。

“从建设互联网站角度，中国铁道科学研究院应该算是业余部队吧？” 得知真相的用户强烈流露不满并指出，12306对于自身内部的信息安全性尚无法保障，一个简单的安全设计便暴露出足够多的问题，让购票者难以信赖。  

分享