12306との協議その3:大きな抜け穴により数億人のユーザーの情報漏洩につながる可能性

12306との協議その3:大きな抜け穴により数億人のユーザーの情報漏洩につながる可能性

9月28日夜のニュースで、昨夜12306にさらに深刻な問題が発見されたことがインターネット上で明らかになった。ユーザー情報が漏洩する恐れのある重大なセキュリティ上の脆弱性があり、この脆弱性を利用して他人がユーザー名やパスワードを勝手に変更し、チケットの予約や払い戻しなどの操作を行える可能性がある。これを受けて、Sohu ITは業界のセキュリティ専門家を訪問しました。専門家は、12306が明らかにした問題を分析した結果、12306ウェブサイトのセキュリティリスクは非常に深刻なレベルに達しており、時間内にアップグレードしてブロックしなければ、数億人のユーザーの情報が漏洩する可能性があると述べた。

Sohu ITが12306ウェブサイトの構造を独占的に分析

明らかになった脆弱性は氷山の一角に過ぎない

インターネット上で公開された12306のセキュリティ脆弱性に対応して、Sohu ITはネットワークセキュリティの専門家でありAnquanbaoのCEOであるMa Jie氏を訪問しました。 Ma Jie 氏はかつて Rising Star Corporation の技術エンジニアであり、セキュリティ分野で 10 年以上の経験を持っています。

サイバーセキュリティの専門家であり、AnquanbaoのCEOであるMa Jie氏

馬傑氏はSohu ITに対し、「オンラインで公開された脆弱性は比較的よくあるものだ。最も深刻な脆弱性は、データベース全体のセキュリティに影響を及ぼす可能性がある。チケットを購入したユーザーにとっては、情報が漏洩する一定のリスクがある」と語った。

ネットユーザーは依然として比較的責任ある態度を示し、黒い文字やスクリーンショットで抜け穴の一部のみを公開したが、それ以上のユーザー情報は漏洩しなかった。馬傑氏は、工商、税務、公安などの情報システムと比較すると、12306も数万人に影響を与える非常に重要なウェブサイトであるが、そのセキュリティは依然として比較的劣っていると分析した。より経験豊富なセキュリティ専門家や、より強力なハッカーがデータベースにアクセスできるようになります。 「許可がなければ、アクセスは不便であり、大量のユーザー情報が含まれる可能性があります。」

「ウェブサイトのセキュリティテストを実施したところ、90%のウェブサイトにセキュリティ上の脆弱性があり、そのうち20~30%に深刻なセキュリティ上の脆弱性があることがわかりました。12306は最も深刻なレベルに達しています!」馬潔氏は技術者として、外部から多くの脆弱性を見てきたと語った。関係機関の許可があれば、その場でメディアに問題点をアピールすることもできる。

以前、Weiboは12306ウェブサイトの内部コードのスクリーンショット(写真参照)を掲載し、多数のネットユーザーから批判を浴びた。 Ma Jie 氏は、これらのコードは比較的基本的なものであり、Web サイトが遅くなる原因の 1 つであると分析しました。 「like、%」などの専門用語は、効率が極めて低いファジーマッチであるため、一般的なウェブサイトでは、このタイプのマッチをできるだけ使用しないようにしています。 「ネットユーザーが簡単にシステムにアクセスし、スクリーンショットを撮れるという事実は、システムが十分に安全ではないことを示している。」

Weiboが12306ウェブサイトの内部コードのスクリーンショットを公開

12306は「草の根チーム」かもしれない

共同購入サイトの匿名の副社長は、サイトの構造から判断すると、完全に未熟なサイトだと分析した。もともと「社内利用」を目的に考えられたのかもしれないが、数億の訪問数に対応するのは困難だ。

流出したコードから判断すると、以前は100万アクセス未満のウェブサイトで「like、%」などの技術言語が使用されていました。少しの技術知識しかない技術者であれば、このような低レベル言語は使用しないでしょう。

馬傑氏も同様の見解を示した。彼は、12306 のような Web サイトには 30 ~ 40 人の技術チームが必要であり、研究開発はさまざまなレベルから行われるべきだと考えています。現在のウェブサイトのセキュリティの観点から、さまざまなレベルの技術者がそれほど多くいる必要はないと推測されます。

入札書類では情報セキュリティを軽視してはならない

2011年末のCSDN、天亜、人人などのウェブサイトのユーザー情報漏洩、そして2012年3.15ガラで明らかになった上海浦東発展銀行、中国光大銀行、中国工商銀行、淘宝網、JD.comなどのウェブサイトの情報漏洩は警鐘です。情報セキュリティはすべての人の神経に触れます。しかし、何億人ものユーザーの情報が関わる12306が非常に脆弱であるという事実は、専門家を心配させている。

しかし、今回は12306ウェブサイトの抜け穴が再び人々を不安にさせている。 「ダブルフェスティバル」後、列車の乗客の個人情報が漏洩することはないだろうか。12306が直ちに事態を改善しなければ、トラブルは尽きないかもしれない。セキュリティ専門家がSohu ITに語った。

実際、鉄道省がシステムアップグレードのために3億元を投じた入札は大きな疑念を招いた。馬傑氏はSohu ITに対し、入札プロジェクトにセキュリティベンダーが含まれているかどうかは不明だと語った。 「太極は優れたソフトウェアインテグレーターであり、この分野の人材を集めて対応すべきだ」と馬傑氏は語った。ファイアウォールを通過すると、関連するデータ量が非常に大きいため、容量が制限され、耐えられない可能性があると述べた。鉄道省がシステムをオープンにする意思があれば、「安全宝社は、システムの『ブラックボックス』(周辺機器)セキュリティ保護を無料で提供できる」

3億元という巨額の入札を経て、鉄道部は12306システムをどう運用すべきか?馬傑氏は、各業界が直面している現状は似通っているため、鉄道部を責めるべきではないと考えている。 「しかし、ウェブサイトの運用・保守の責任者には運用・保守業務を許可すべきであり、セキュリティの責任者にはセキュリティ業務を許可すべきだ」と馬潔氏は述べた。

原題: 12306 との協議パート 3: 大きな抜け穴により数億人のユーザー情報が漏洩する可能性

キーワード: 相談、12306、第三、抜け穴、何億人ものユーザー、情報、可能性、漏洩、9月、ウェブマスター、ウェブサイト、ウェブサイトの宣伝、金儲け

<<:  SEO キーワードとリンクの関係を深める 7 つのオンページ最適化テクニック

>>:  相談12306 パート4: 製品設計チームの経験不足

推薦する

Baidu における信頼性がウェブサイトのパフォーマンスに影響を与える理由の分析

Baidu アルゴリズムの継続的なアップグレードにより、新しいサイトが Baidu で順位を獲得する...

私は 400 件以上のブログ記事を書いています。なぜ SEO ブログの更新にこだわるのか、その理由をお話ししましょう。

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますこれまでに...

クラウドネイティブのヒント: ローカル K8s に自己署名 TLS 証明書を簡単にデプロイする

インターネットの急速な発展に伴い、セキュリティはますます私たちの注目の的となっています。 HTTPS...

Douyinのブランドアップグレードは、Kuaishouとの戦いであるだけでなく、生き残るために不可欠な戦略的変革でもある。

おそらく、今後はTik TokとWeChatの間で戦いが起こるとも言えるでしょう。もちろん、前提条件...

クラウドエッジコラボレーションアーキテクチャ:深く統合されたクロスレベルサービスの実現

情報技術の急速な発展に伴い、クラウドコンピューティングとエッジコンピューティングは徐々に現代社会の主...

操作:Baidu Xiong Zhangアカウント認可TP、Xiong Zhangアカウント操作専用!

最近、百度は熊張昊の「春竹の子計画」を正式に開始しました。これは、高品質のコンテンツを持つ中小規模の...

ドキュメントダウンロードサイトの最適化の詳細を分析

ドキュメントダウンロードサイトも、ファイルのダウンロードを提供するウェブサイトです。このようなサイト...

ページタイトルを完璧に最適化する方法について簡単に説明します

私たちは皆、Web ページの最適化プロセスにおける重要な要素がタイトル タグの最適化であることを知っ...

「河源地震」がもたらした300ipの事例分析

私の会社の 1 つである中山泰成ケータリング会社の Web サイトは、構造が乱雑でレイアウトも不合理...

Alipay をサポートする 2 つの新しい超格安の米国 VPS 販売業者が、年間 4 ドルから開始

最近、2 つの VPS ブランド マーチャントが国内の Alipay 支払いのサポートを開始したこと...

Bステーションアップマスターの商業的ジレンマ

大晦日のガラが話題になって以来、ビリビリはネットユーザーに常に新しい話題を提供し続けている。ビリビリ...

SEOはウェブサイトの哲学です

哲学は、自然的知識、社会的知識、思考的知識を一般化し、要約したものです。哲学とは統一であり、それは世...

動画マーケティングを無視してはいけない9つの理由

はじめに:中国では何人の人が動画を視聴しているでしょうか? 関連統計によると、平均してインターネット...

#黒5# tmhhost、すべてのVPSが永久に20%オフ、[日本/香港/韓国/米国]、CN2ネットワーク、追加の200Gの高防御

tmhhostのブラックフライデープロモーションが始まりました。公式が特別にカスタマイズした「Hos...