12306との協議その3:大きな抜け穴により数億人のユーザーの情報漏洩につながる可能性

12306との協議その3:大きな抜け穴により数億人のユーザーの情報漏洩につながる可能性

9月28日夜のニュースで、昨夜12306にさらに深刻な問題が発見されたことがインターネット上で明らかになった。ユーザー情報が漏洩する恐れのある重大なセキュリティ上の脆弱性があり、この脆弱性を利用して他人がユーザー名やパスワードを勝手に変更し、チケットの予約や払い戻しなどの操作を行える可能性がある。これを受けて、Sohu ITは業界のセキュリティ専門家を訪問しました。専門家は、12306が明らかにした問題を分析した結果、12306ウェブサイトのセキュリティリスクは非常に深刻なレベルに達しており、時間内にアップグレードしてブロックしなければ、数億人のユーザーの情報が漏洩する可能性があると述べた。

Sohu ITが12306ウェブサイトの構造を独占的に分析

明らかになった脆弱性は氷山の一角に過ぎない

インターネット上で公開された12306のセキュリティ脆弱性に対応して、Sohu ITはネットワークセキュリティの専門家でありAnquanbaoのCEOであるMa Jie氏を訪問しました。 Ma Jie 氏はかつて Rising Star Corporation の技術エンジニアであり、セキュリティ分野で 10 年以上の経験を持っています。

サイバーセキュリティの専門家であり、AnquanbaoのCEOであるMa Jie氏

馬傑氏はSohu ITに対し、「オンラインで公開された脆弱性は比較的よくあるものだ。最も深刻な脆弱性は、データベース全体のセキュリティに影響を及ぼす可能性がある。チケットを購入したユーザーにとっては、情報が漏洩する一定のリスクがある」と語った。

ネットユーザーは依然として比較的責任ある態度を示し、黒い文字やスクリーンショットで抜け穴の一部のみを公開したが、それ以上のユーザー情報は漏洩しなかった。馬傑氏は、工商、税務、公安などの情報システムと比較すると、12306も数万人に影響を与える非常に重要なウェブサイトであるが、そのセキュリティは依然として比較的劣っていると分析した。より経験豊富なセキュリティ専門家や、より強力なハッカーがデータベースにアクセスできるようになります。 「許可がなければ、アクセスは不便であり、大量のユーザー情報が含まれる可能性があります。」

「ウェブサイトのセキュリティテストを実施したところ、90%のウェブサイトにセキュリティ上の脆弱性があり、そのうち20~30%に深刻なセキュリティ上の脆弱性があることがわかりました。12306は最も深刻なレベルに達しています!」馬潔氏は技術者として、外部から多くの脆弱性を見てきたと語った。関係機関の許可があれば、その場でメディアに問題点をアピールすることもできる。

以前、Weiboは12306ウェブサイトの内部コードのスクリーンショット(写真参照)を掲載し、多数のネットユーザーから批判を浴びた。 Ma Jie 氏は、これらのコードは比較的基本的なものであり、Web サイトが遅くなる原因の 1 つであると分析しました。 「like、%」などの専門用語は、効率が極めて低いファジーマッチであるため、一般的なウェブサイトでは、このタイプのマッチをできるだけ使用しないようにしています。 「ネットユーザーが簡単にシステムにアクセスし、スクリーンショットを撮れるという事実は、システムが十分に安全ではないことを示している。」

Weiboが12306ウェブサイトの内部コードのスクリーンショットを公開

12306は「草の根チーム」かもしれない

共同購入サイトの匿名の副社長は、サイトの構造から判断すると、完全に未熟なサイトだと分析した。もともと「社内利用」を目的に考えられたのかもしれないが、数億の訪問数に対応するのは困難だ。

流出したコードから判断すると、以前は100万アクセス未満のウェブサイトで「like、%」などの技術言語が使用されていました。少しの技術知識しかない技術者であれば、このような低レベル言語は使用しないでしょう。

馬傑氏も同様の見解を示した。彼は、12306 のような Web サイトには 30 ~ 40 人の技術チームが必要であり、研究開発はさまざまなレベルから行われるべきだと考えています。現在のウェブサイトのセキュリティの観点から、さまざまなレベルの技術者がそれほど多くいる必要はないと推測されます。

入札書類では情報セキュリティを軽視してはならない

2011年末のCSDN、天亜、人人などのウェブサイトのユーザー情報漏洩、そして2012年3.15ガラで明らかになった上海浦東発展銀行、中国光大銀行、中国工商銀行、淘宝網、JD.comなどのウェブサイトの情報漏洩は警鐘です。情報セキュリティはすべての人の神経に触れます。しかし、何億人ものユーザーの情報が関わる12306が非常に脆弱であるという事実は、専門家を心配させている。

しかし、今回は12306ウェブサイトの抜け穴が再び人々を不安にさせている。 「ダブルフェスティバル」後、列車の乗客の個人情報が漏洩することはないだろうか。12306が直ちに事態を改善しなければ、トラブルは尽きないかもしれない。セキュリティ専門家がSohu ITに語った。

実際、鉄道省がシステムアップグレードのために3億元を投じた入札は大きな疑念を招いた。馬傑氏はSohu ITに対し、入札プロジェクトにセキュリティベンダーが含まれているかどうかは不明だと語った。 「太極は優れたソフトウェアインテグレーターであり、この分野の人材を集めて対応すべきだ」と馬傑氏は語った。ファイアウォールを通過すると、関連するデータ量が非常に大きいため、容量が制限され、耐えられない可能性があると述べた。鉄道省がシステムをオープンにする意思があれば、「安全宝社は、システムの『ブラックボックス』(周辺機器)セキュリティ保護を無料で提供できる」

3億元という巨額の入札を経て、鉄道部は12306システムをどう運用すべきか?馬傑氏は、各業界が直面している現状は似通っているため、鉄道部を責めるべきではないと考えている。 「しかし、ウェブサイトの運用・保守の責任者には運用・保守業務を許可すべきであり、セキュリティの責任者にはセキュリティ業務を許可すべきだ」と馬潔氏は述べた。

原題: 12306 との協議パート 3: 大きな抜け穴により数億人のユーザー情報が漏洩する可能性

キーワード: 相談、12306、第三、抜け穴、何億人ものユーザー、情報、可能性、漏洩、9月、ウェブマスター、ウェブサイト、ウェブサイトの宣伝、金儲け

<<:  SEO キーワードとリンクの関係を深める 7 つのオンページ最適化テクニック

>>:  相談12306 パート4: 製品設計チームの経験不足

推薦する

クラウドコンピューティングの8つのメリット

クラウド コンピューティングとは、インターネット経由でコンピューティング サービスを提供することです...

Racknerd: Double 11プロモーションモデルの最低構成VPSレビュー、RacknerdのVPSの最新状況をお伝えします

最近、racknerd は毎年恒例の Double Eleven プロモーション VPS をリリース...

vpsdime: 年間 7 ドル、OpenVZ7、1G メモリ/1 コア/10g SSD/1T 帯域幅、ダラス データ センター

vpsdime の最後のプロモーションは 2018 年 7 月 22 日でした。現在、年間 20 ド...

Linkerd と Ingress-Nginx の組み合わせとサービスへのアクセス制限

簡潔にするために、Linkerd 自体は組み込みの Ingress コントローラーを提供していません...

草の根講堂の最初のゲスト、朱衛坤氏が、個人ウェブマスターの将来について語ります。

みなさんこんにちは。私は朱偉坤です。今日は Arui さんに招待されて、皆さんとシェアすることができ...

SEO最適化のワークフローの詳細説明パート2:実装

先ほど「SEO最適化作業トラフィックの準備」についてお話しましたが、今日は実装を開始する方法について...

ビッグデータ時代の化粧品業界の「美の真実」を読み解く

ビッグデータは良いものであり、またビッグデータは悪いものです。メイクは良いことであり、メイクは悪いこ...

建設業界におけるエッジコンピューティングの応用価値は何ですか?

エッジ コンピューティングは、集中型のクラウド コンピューティング センターからデータ ソースや端末...

フレンドリーリンクのトリック

バックリンクの品質が高ければ高いほど、ランキングの向上に大きく貢献するということは以前から言われてき...

構築中にモバイルウェブサイトの利用率を向上させるための重要なポイント

ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービスほとんどのオフィスワーカ...

SEO の秘密を簡単に分析: Baidu SEO の槍と盾

世の中のあらゆるものに矛盾がある。これはすべての物、すべての人々、そして百度にも当てはまる。 Bai...

車のロゴの意味についてどれくらい知っていますか?オンラインテストを受けて、自分だけのロゴを作りましょう

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています車のロゴは...

Shanpai.comは今日、約2年間の運営を経て終了した。同社はその失敗の2つの主な理由を明らかにした。

Shanpai.comのコンセプトは人気のSwoopoからインスピレーションを得ていますShanpa...

BaiduとGoogleのSEO最適化の違い

Baidu は中国の検索エンジンのリーダーであり、Google は世界の検索エンジンのリーダーです。...

CI/CD パイプラインのコードとしてのインフラストラクチャに関連するいくつかの問題

アプリケーションの継続的デリバリーと同様に、インフラストラクチャの継続的デリバリー パイプラインを構...