12306との協議その3：大きな抜け穴により数億人のユーザーの情報漏洩につながる可能性

9月28日夜のニュースで、昨夜12306にさらに深刻な問題が発見されたことがインターネット上で明らかになった。ユーザー情報が漏洩する恐れのある重大なセキュリティ上の脆弱性があり、この脆弱性を利用して他人がユーザー名やパスワードを勝手に変更し、チケットの予約や払い戻しなどの操作を行える可能性がある。これを受けて、Sohu ITは業界のセキュリティ専門家を訪問しました。専門家は、12306が明らかにした問題を分析した結果、12306ウェブサイトのセキュリティリスクは非常に深刻なレベルに達しており、時間内にアップグレードしてブロックしなければ、数億人のユーザーの情報が漏洩する可能性があると述べた。

Sohu ITが12306ウェブサイトの構造を独占的に分析

明らかになった脆弱性は氷山の一角に過ぎない

インターネット上で公開された12306のセキュリティ脆弱性に対応して、Sohu ITはネットワークセキュリティの専門家でありAnquanbaoのCEOであるMa Jie氏を訪問しました。 Ma Jie 氏はかつて Rising Star Corporation の技術エンジニアであり、セキュリティ分野で 10 年以上の経験を持っています。

サイバーセキュリティの専門家であり、AnquanbaoのCEOであるMa Jie氏

馬傑氏はSohu ITに対し、「オンラインで公開された脆弱性は比較的よくあるものだ。最も深刻な脆弱性は、データベース全体のセキュリティに影響を及ぼす可能性がある。チケットを購入したユーザーにとっては、情報が漏洩する一定のリスクがある」と語った。

ネットユーザーは依然として比較的責任ある態度を示し、黒い文字やスクリーンショットで抜け穴の一部のみを公開したが、それ以上のユーザー情報は漏洩しなかった。馬傑氏は、工商、税務、公安などの情報システムと比較すると、12306も数万人に影響を与える非常に重要なウェブサイトであるが、そのセキュリティは依然として比較的劣っていると分析した。より経験豊富なセキュリティ専門家や、より強力なハッカーがデータベースにアクセスできるようになります。 「許可がなければ、アクセスは不便であり、大量のユーザー情報が含まれる可能性があります。」

「ウェブサイトのセキュリティテストを実施したところ、90％のウェブサイトにセキュリティ上の脆弱性があり、そのうち20～30％に深刻なセキュリティ上の脆弱性があることがわかりました。12306は最も深刻なレベルに達しています！」馬潔氏は技術者として、外部から多くの脆弱性を見てきたと語った。関係機関の許可があれば、その場でメディアに問題点をアピールすることもできる。

以前、Weiboは12306ウェブサイトの内部コードのスクリーンショット（写真参照）を掲載し、多数のネットユーザーから批判を浴びた。 Ma Jie 氏は、これらのコードは比較的基本的なものであり、Web サイトが遅くなる原因の 1 つであると分析しました。 「like、%」などの専門用語は、効率が極めて低いファジーマッチであるため、一般的なウェブサイトでは、このタイプのマッチをできるだけ使用しないようにしています。 「ネットユーザーが簡単にシステムにアクセスし、スクリーンショットを撮れるという事実は、システムが十分に安全ではないことを示している。」

Weiboが12306ウェブサイトの内部コードのスクリーンショットを公開

12306は「草の根チーム」かもしれない

共同購入サイトの匿名の副社長は、サイトの構造から判断すると、完全に未熟なサイトだと分析した。もともと「社内利用」を目的に考えられたのかもしれないが、数億の訪問数に対応するのは困難だ。

流出したコードから判断すると、以前は100万アクセス未満のウェブサイトで「like、%」などの技術言語が使用されていました。少しの技術知識しかない技術者であれば、このような低レベル言語は使用しないでしょう。

馬傑氏も同様の見解を示した。彼は、12306 のような Web サイトには 30 ～ 40 人の技術チームが必要であり、研究開発はさまざまなレベルから行われるべきだと考えています。現在のウェブサイトのセキュリティの観点から、さまざまなレベルの技術者がそれほど多くいる必要はないと推測されます。

入札書類では情報セキュリティを軽視してはならない

2011年末のCSDN、天亜、人人などのウェブサイトのユーザー情報漏洩、そして2012年3.15ガラで明らかになった上海浦東発展銀行、中国光大銀行、中国工商銀行、淘宝網、JD.comなどのウェブサイトの情報漏洩は警鐘です。情報セキュリティはすべての人の神経に触れます。しかし、何億人ものユーザーの情報が関わる12306が非常に脆弱であるという事実は、専門家を心配させている。

しかし、今回は12306ウェブサイトの抜け穴が再び人々を不安にさせている。 「ダブルフェスティバル」後、列車の乗客の個人情報が漏洩することはないだろうか。12306が直ちに事態を改善しなければ、トラブルは尽きないかもしれない。セキュリティ専門家がSohu ITに語った。

実際、鉄道省がシステムアップグレードのために3億元を投じた入札は大きな疑念を招いた。馬傑氏はSohu ITに対し、入札プロジェクトにセキュリティベンダーが含まれているかどうかは不明だと語った。 「太極は優れたソフトウェアインテグレーターであり、この分野の人材を集めて対応すべきだ」と馬傑氏は語った。ファイアウォールを通過すると、関連するデータ量が非常に大きいため、容量が制限され、耐えられない可能性があると述べた。鉄道省がシステムをオープンにする意思があれば、「安全宝社は、システムの『ブラックボックス』（周辺機器）セキュリティ保護を無料で提供できる」

3億元という巨額の入札を経て、鉄道部は12306システムをどう運用すべきか？馬傑氏は、各業界が直面している現状は似通っているため、鉄道部を責めるべきではないと考えている。 「しかし、ウェブサイトの運用・保守の責任者には運用・保守業務を許可すべきであり、セキュリティの責任者にはセキュリティ業務を許可すべきだ」と馬潔氏は述べた。

原題: 12306 との協議パート 3: 大きな抜け穴により数億人のユーザー情報が漏洩する可能性

キーワード: 相談、12306、第三、抜け穴、何億人ものユーザー、情報、可能性、漏洩、9月、ウェブマスター、ウェブサイト、ウェブサイトの宣伝、金儲け