社区 › 铁路时空 › 12306网站再现漏洞：用虚假身份证号可直接购票

hnrsy 发表于 2014-1-3 08:13:21

12306网站再现漏洞：用虚假身份证号可直接购票

继春运购票首日查询等功能无法使用后，12306再现漏洞。近日，有知情人爆料称，12306火车订票网站对身份证信息缺乏审核，用虚假的身份证号可直接购票。　　新京报记者体验发现，尽管用该方式购买的火车票无法取票，但不少黄牛利用这个漏洞，在网站上用假身份证大量囤票，找到卖家后立刻退票回购进行转卖。
　　昨日，12306客服人员表示，12306网站未与公安的身份认证系统联网，无法即时查验身份信息真伪导致漏洞。
　　体验
　　身份证算号器伪造信息可购票
　　按照该知情人提供的方法，昨日下午，新京报记者首先用“身份证算号器”进行搜索，查询出不少在线算号网站。点击第一个搜索结果进入某网站，网站的声明显示，“指定出生地、出生日期及性别就可生成1到999个格式正确的身份证号码”。
　　该声明下方，有出生地点、出生时间、性别和生成数量四个填写项。记者填写了性别男、出生日期为2014年1月1日，点击后果然生成了10个不同的身份证号。
　　随意复制其中的“110101201401019537”身份证号。进入12306订票界面，新京报记者选择了1月3日早上开往廊坊的高铁列车。点击预订后，新京报记者将身份证号粘贴上去，并随意填写乘客姓名为“赵大力”。网站直接弹出窗口提示已锁定，提示付款购买成功。
　　随后，新京报记者又换了个假身份证号进行尝试，再次购买成功。
　　回应
　　客服称12306网站未与警方联网
　　昨日，12306网站客服人员称从未接到类似举报。该客服人员表示，算出来的身份证号之所以能够购买，原因是网站并未与公安相关系统联网，对身份证号等信息没有审核环节。
　　一名铁路内部人士证实， 目前12306网站检测身份证号真伪主要是靠检测身份证最后一位的运算逻辑，而该逻辑早已被身份证算号软件破解，因此，在未与公安系统联网的情况下，单凭数据的逻辑验证无法检测身份证号信息真伪。
　　■ 揭秘
　　黄牛虚假购票退票重新抢回
　　12306客服人员称，用这种虚假身份证号和姓名购票将无法取票。但一名知情人表示，不少黄牛恰恰利用这一点，大规模抢票囤积。
　　该知情人表示，这一漏洞使得黄牛可以先通过其他身份证信息“占座”，在抢票高峰期利用软件辅助大规模购票，避开高峰后，再进行退票重购。目前网络黄牛倒卖车票的流程分三个步骤，分别为“买”、“退”和“重新抢回”。
　　具体来说，首先，黄牛会使用身份证算号器预先算出可用的身份证号并记录，然后打开抢票软件进行抢票。
　　据知情人透露，目前黄牛普遍使用的软件可支持同一台电脑同时登录20个账号使用。每个账号在同一时间可抢5张车票，由此为100张。此外，该软件有“双开”功能，即在同一台电脑上最多可打开10个。因此，理论上看，一台电脑同时可抢1000张火车票。
　　成功抢到车票之后，黄牛会进行兜售。一旦有顾客付款，他们就立刻退票。退票将再次进入铁路售票系统。此时，他们会再次打开抢票软件，不间断刷票，在火车票重回票仓的第一时间抢到。而后，用买家的身份信息填写购买车票，并出手转售。
　　据该知情人士称，据其所知，部分黄牛所使用的软件与市面上的网络抢票软件不同，抢票效果更好，功能也更多。此前，他所了解到的该软件售价为每个月2000元，且只能通过熟识的黄牛或“圈内人”介绍才能购买到。
　　而通过身份证信息无需审核来“囤票”的，并非仅有黄牛。去年10月本报曾报道，携程网曾为确保“自由行”参与者能购买到车票，会用准备好的身份信息买下大量车票，“等客户下订单提交了个人信息后，再退票用客户身份信息把票买回来”。
　　■ 探访
　　12306随机退票难挡黄牛回购
　　上月初，12306网站新版上线。铁科院副研究员王明哲对媒体表示，为防止有黄牛通过囤票的方式来倒卖，实行了随机退票机制。即一个人退的票将在随机的时间点返回票仓进行出售，但“时间不会太长”。改变了以往“一个人退了，另一边立刻就能刷到”。
　　昨日，铁路内部人士亦证实此事。他表示，目前火车退票重新入库已改为“随机”，但随机时间约为3小时，意味着黄牛退出的票将在3小时内随机返回网站再次出售。
　　此外，开车前6小时内退的车票，暂时并未采取“随机”处理，依旧是退票后立刻返回票仓，这给黄牛提供了转卖空间。
　　此前，有媒体探访发现，火车站的黄牛与顾客谈妥后，一人进行退票操作，一人在自助购票机上刷新以“回购”。
　　对此，一名“黄牛”表示，“随机回库”使得这种倒卖方法不再可行，现在黄牛票往往需要提前一天“预订”。
　　据其介绍，尽管新措施导致黄牛退票回购的成功率下降，但由于退票手续费不高，黄牛又可以一次性抢回多张车票，使得黄牛并未真正被挡在门外，“就算不能退一张回购一张，总能退几张回购成功一张”。
　　此外，他表示黄牛已基本摸清退票会在3小时内随机回库，因此更多选择在“人少的时间段，晚上6点到12点之间”进行退票，开启刷票软件等待退票出现，然后进行回购。
　　昨晚，记者在某网络论坛上以“代买火车票”为关键词搜索。一名“黄牛”称，如果要买春节前几日的车票，最好现在就告知信息预订。记者质疑现在网站“不好抢票”，该黄牛表示，“你先定下来，我自有办法抢到，票到付款”。
　　■ 应对
　　升级验证码 多个抢票软件失效
　　1月1日，12306网站做出升级，将静态的验证码变成了不断摇动的彩色动态验证码，这一升级导致众多抢票软件无法识别，几乎“失效”。
　　此前，不少抢票软件都带有自动识别验证码功能。昨日，记者使用360推出的抢票软件登录，发现原本可自动识别验证码填表的功能已经“失效”，抢票仍需手动填写登录验证码，并在提交订单前再次手动输入验证码。
　　对此，铁路总公司客服曾回应称，由于“其他软件和网站已经影响到正常购票顺序，这个动态验证码就是要保障旅客正常购票”。
　　截至昨晚，多家抢票软件公司均表示，暂时无法识别新的验证码。不少网友也表示新验证码“识别难度很大”，360浏览器在微博上公开指责12306把“验证码”当成“密码锁”。
　　昨日，一名互联网从业人员称，12306新升级的动态验证码“破解难度很大”。而一名黄牛则表示，“验证码有影响，但肯定会破解的”。

agan1976 发表于 2014-1-3 08:24:00

身份证算号器伪造信息可购票

hdl6352 发表于 2014-1-3 09:40:12

中国人民的创意真多啊！

Alioth 发表于 2014-1-3 09:43:15

本帖最后由 Alioth 于 2014-1-3 09:44 编辑

以目前现状 我感觉以下几步就可以遏制票贩子
1 车票只能改签不能退票或者退票收50%的退票费
2订票时添加手机短信验证
3进站闸机不再刷车票 而是刷身份证进站没带身份证的人工验证
ps：如果验证码改成Google那样的估计也无法破解了

行万里路浩哥 发表于 2014-1-3 09:44:21

不能取票

h-r 发表于 2014-1-3 10:13:51

Alioth 发表于 2014-1-3 09:43
以目前现状 我感觉以下几步就可以遏制票贩子
1 车票只能改签不能退票或者退票收50%的退票费
2订票时添加手 ...

不可破解的验证码几乎不存在，因为验证码也是程序生成的，用一个程序去读取另一个程序生成的东西这怎么防？
除非这样，每天换一套新的验证码，让破验证码的程序员忙不过来。

Alioth 发表于 2014-1-3 10:55:22

本帖最后由 Alioth 于 2014-1-3 10:56 编辑

h-r 发表于 2014-1-3 10:13 static/image/common/back.gif
不可破解的验证码几乎不存在，因为验证码也是程序生成的，用一个程序去读取另一个程序生成的东西这怎么防 ...
你可以去看看Google的图片验证码{:4_104:}   

clw9981 发表于 2014-1-3 15:15:42

Alioth 发表于 2014-1-3 10:55
你可以去看看Google的图片验证码

再以后抢票软件不管用。就上黑客软件^O^

WSGC 发表于 2014-1-3 21:30:18

Alioth 发表于 2014-1-3 09:43 static/image/common/back.gif
以目前现状 我感觉以下几步就可以遏制票贩子
1 车票只能改签不能退票或者退票收50%的退票费
2订票时添加手 ...

2订票时添加手机短信验证
3进站闸机不再刷车票 而是刷身份证进站没带身份证的人工验证

------------

这两个可行。

mmgm 发表于 2014-1-4 01:50:26

直接刷身份证。这样只能用自己的身份证购票才有效。

春运期间退票加收资源占用费。就按全票的50%收吧，这样加价还有人买，大家也认了。

youfenyu 发表于 2014-1-4 07:35:35

这个不能算漏洞,因为这个所谓"假号码"也可能真实存在.
再直白些, 黄牛把他家七大姑八大姨的身份证号码都拿来订票,总可以吧.

赣榆车站 发表于 2014-1-4 11:35:03

不会吧，现在还可以用吗？那用假身份证可以在取票机上取票吗？

hoshong 发表于 2014-1-4 14:32:54

赣榆车站 发表于 2014-1-4 11:35 static/image/common/back.gif
不会吧，现在还可以用吗？那用假身份证可以在取票机上取票吗？

他们只是用假身份证号码占住票额，然后找到下家了之后就把假身份证号占的票退出去，再用真身份证抢回来。只不过这个就没办法100%成功了。。

hoshong 发表于 2014-1-4 14:34:04

其实这个根本就不能算漏洞，因为他随机生成的身份证号码也是可能是事实存在的。。就算生成的不行就上市面收购身份证号码就是了。。

赣榆车站 发表于 2014-1-4 15:59:23

hoshong 发表于 2014-1-4 14:32 static/image/common/back.gif
他们只是用假身份证号码占住票额，然后找到下家了之后就把假身份证号占的票退出去，再用真身份证抢回来。 ...

原来如此

火车大亨 发表于 2014-1-4 20:37:04

本帖最后由 火车大亨 于 2014-1-4 20:46 编辑

退票费按50%收取对于真正有急事无法过年回家的人无异于抢钱，20%都够高的了。只有12306跟公安部身份证信息系统增加实名联网认证才能增加票贩子的难度，这个只需在12306系统中备份公安部身份站数据中的部分个人信息(姓名、性别、身份证号）。这样用算出来的身份证号去订票12306系统在数据库里就查无此人拒绝出票。订票的账号连续出现三次以上出现无法查找自然人的就对该订票的账号实施冻结，让他自己给自己也无法订票，此账号要重新开通得通过铁路公安的证明，说明致使他冻结的乘车人是事实存在的才行。这样子票贩子的资源就少多了，看他有多少个七大姑八大姨？

火车大亨 发表于 2014-1-4 20:52:27

Alioth 发表于 2014-1-3 09:43 static/image/common/back.gif
以目前现状 我感觉以下几步就可以遏制票贩子
1 车票只能改签不能退票或者退票收50%的退票费
2订票时添加手 ...

普及凭身份证进站上车还得有个过程

hoshong 发表于 2014-1-5 08:58:26

火车大亨 发表于 2014-1-4 20:37 static/image/common/back.gif
退票费按50%收取对于真正有急事无法过年回家的人无异于抢钱，20%都够高的了。只有12306跟公安部身份证信息系 ...

公安部门不可能给12306身份信息资料的，只会给他一个接口进行联网验证，银行的身份信息验证应该也是这么做的。但是在订票时跟公安身份信息进行联网验证会更加影响订票的体验。所以我觉得可行的就是在增加订票人的时候进行身份信息联网验证。

bestfriend 发表于 2014-1-5 19:29:45

hoshong 发表于 2014-1-5 08:58 static/image/common/back.gif
公安部门不可能给12306身份信息资料的，只会给他一个接口进行联网验证，银行的身份信息验证应该也是这么做 ...

这个可行，还有个办法就是退票时增加实名验证（向公安数据库查询），并发送手机验证码，让黄牛们抢得了票退不了，看他们怎么倒腾？

火车大亨 发表于 2014-1-5 20:40:08

bestfriend 发表于 2014-1-5 19:29 static/image/common/back.gif
这个可行，还有个办法就是退票时增加实名验证（向公安数据库查询），并发送手机验证码，让黄牛们抢得了票 ...

这也是个好办法？退票不太在乎速度的。

查看完整版本: 12306网站再现漏洞：用虚假身份证号可直接购票