12306訂票排隊系統效率低下 被指存在多處漏洞
用戶提交訂單后會被強制進入排隊系統
9 月 18 日凌晨消息,鐵道部唯一的官方訂票網站 12306.cn 周日完成了新一輪升級,但是多位用戶反映,升級后用戶購票可能會被強制排隊,由于系統存在多處漏洞,排隊后購買失敗的概率很大。
家住北京亞運村的劉許已經是第三次從 12306 購票了。經過了春節、五一長假的“磨練”,他已經對購票流程相當熟悉,早早的開始關注購票信息。不過,這一次他可能要失望了。
當他好不容易完成所有訂票流程后,系統提示訂單已經提交,但是需要 30 分鐘時間排隊處理。在等待了漫長的 30 分鐘后,系統卻顯示訂單處理失敗,需要重新提交。
劉許皺起眉頭反復嘗試提交訂單,但是等待了多個 30 分鐘后,每一次都被提示處理失敗。
給暗箱操作留下空間
據官方介紹,排隊系統是 12306 上周日升級后新加入的功能,目的是為了減輕網站的瞬時壓力,只在用戶訂購部分熱門線路時才會被激活。不過這個功能上線后,效率低下引發大量網友吐槽,截至 17 日晚,相關微博結果超過 100 萬條。
“用戶訂票的時候需要在隊列中排隊,時間不等,而且倒計時完成后還會重新倒計時,12306的處理方式很流氓。”網友@飆攻城獅說,這種方式好比風景區的廁所不夠多,不去新增廁所,而是掛上牌子說廁所每人限上一次。
此外,還有多位網友反映排隊計時不準。“剛剛顯示排隊 20 分鐘,現在又說要排隊 25 分鐘。”網友@小艾_江邊表示,之前買票,系統有多少余票都可以實時看到,能不能買到也能馬上知道,但是現在只能傻等排隊倒計時完成。
小艾認為,現在的訂票系統是一個黑洞,用戶不知道有多少票,也不知道能不能買到,這樣設置講給內部的暗箱操作和腐敗留下空間。
12306的客服人員在與新浪科技交流時承認排隊系統確實存在漏洞,用戶體驗不佳。他表示將向有關負責人反映這個問題,但是并未給出解決的時間表。這位客服人員建議撥打 95105105 進行電話訂票。不過,新浪科技多次撥打 95105105 均未接通。
12306域名存在劫持風險
事實上,12306官方訂票網站存在漏洞并非首次。來自第三方安全問題反饋平臺烏云的報告稱,12306網站重要業務系統控制不嚴,加上一些管理不善,導致 IT 系統可以被攻入,12306.cn 的域名可能會被劫持。
發現這則漏洞的人員介紹說,12306.cn 域名的持有人為劉剛,郵箱為 liugang@sinorail.com,而在中鐵信息工程集團辦公平臺首頁則赫然寫著默認密碼為 123,該人員使用劉剛的郵箱和默認密碼順利登入了辦公平臺。
通過系統漏洞可以輕易進入中鐵信息工程集團內部辦公系統,查看到所有人員的信息。
由于“劉剛”是系統管理員,屬于高權限用戶,使用他的賬號可以輕易找到這家公司全部人員信息、財務信息,并可以進行刪除、修改等操作。目前,中鐵信息工程集團已經確認該漏洞的存在。
除此之外,12306還曾被發現存在郵局漏洞、SQL 注入漏洞、敏感文件泄露等多項漏洞。
一位安全專家分析說,12306網站從一開始就沒有把安全性作為核心需求,從設計階段就已經漏洞百出,同時代碼質量和用戶體驗都與主流互聯網公司相去甚遠,還停留在上個世紀的水平。
狙擊網絡代購謀求獨享網購渠道
雖然 12306 體驗不佳,鐵道部門卻并不想與他人分食網購火車票的大蛋糕。
今年 3 月,京東商城、攜程網、天貓等相繼通過與鐵友網或代售點合作的方式,開展火車票網購。其中京東商城是代購形式為旅客提供網上購票服務,每張火車票收取 5 元服務費以及每件 20-35元不等的快遞費,其合作方鐵友網具有線下實體代售點運營執照。
4月初,鐵道部發布公告,強調鐵道部門沒有授權或委托任何其他網站開展火車票發售及代購業務,并稱國家規定售票除了 5 元服務費,不能加收任何其他費用。京東商城等網購火車票服務被全面叫停。
隨后,一場整頓火車票代售點與電商網合作的行動隨之展開。據《中國經營報》報道,鐵道部要求各個代售點不得自行開辦網上售票業務,不得以各種方式與其他網站合作或聯營;售票時必須查驗乘車人身份證件原件或復印件,不得通過報號等方式。
中國旅游研究院院長戴斌在新浪微博表示,“禁止第三方網站銷售火車票是典型政府主導并保護封閉式壟斷,不利國民旅游福祉和產業發展。”
攜程網 CEO 范敏則轉發上述微博,并評論道:“推動市場良性競爭是政府的天職,放開高鐵票務有利鐵老大改善民生形象,機票早已市場化,高鐵為何不可放開?”