12306漏洞频出 中标企业被指暗箱操作

12306漏洞频出 中标企业被指暗箱操作

“我从早上七点一直守到晚上九点，老让排队，就是订不上票！”“铁道部回应说是因为点击量过大，淘宝天猫搞促销那么大的点击量也没见瘫痪过。”“这还是花3亿多元升级的，据说中标的公司存在暗箱操作嫌疑。”

中秋、十一双节前夕，在一辆刚刚驶离北京的列车上，原本默不作声的乘客围绕铁道部12306新客票系统展开了激烈的讨论。

日前，12306系统先是被网民指责重复排队却始终不能订票，又被曝光存在可以利用个人账号盗取他人账号等6项低级漏洞，新客票系统合计3.3亿元的招标额及中标的同方股份和太极股份也被质疑存在暗箱操作。

重复排队

“北京西站的票是从早上8点开始在网上卖的，我7点59分刷新的时候还显示的是不能预订，8点刷新的时候已经只剩1张座票了。”一位去往石家庄的买了站票的青年乘客苦笑着说，后来剩余票数虽然变多了，提交完订单又被强制排队。

上述“排队”是铁道部今年为了缓解流量高峰对于系统压力推出的新措施，但是，用户排完之后依然无法出票，不得不再次排队。难怪网友调侃说，12306系统是将火车站的队伍搬到了网上。

铁道部的人士则辩解说，双节前夕，12306网站日点击量高达14.6亿次。

“日点击量15亿次，按照每天开放12小时计算，也就是按平均每小时1.25亿次点击量，每人订一次票从登录到预订再到支付产生10次点击量计算，也即时均1250万人次，平均每分钟20.83万人在线、每秒钟3427人在线，这流量都承载不了？”有专业人士评论说。

设计低级

就在大家纷纷“吐槽”网上订票难的时候，坐在记者对面的一位四十岁左右的男子得意地向大家介绍起了自己订票的捷径：12306系统为海外人员预留了一个专用通道，只要在电脑中输入特定代码，国内乘客也可以享受这一待遇。

记者进一步了解到，这名男子在海淀区一家从事网站架构设计的公司上班，其所在公司的合作伙伴主要是各大院校的门户网站。

其实，这一订票捷径与12306系统的漏洞相比微不足道。根据互联网漏洞举报与修补平台乌云的报告，技术人员可以通过12306系统的某一漏洞任意修改其他用户的密码，直接通过盗用的大量账号为自己订票。近一个月内，12306系统类似的漏洞多达6个。

“从安全的角度看，这样的漏洞有点简单和低级。一般网站上线前，公司都会对系统进行系列的严格测试，这种简单的错误和漏洞都能避免。”乌云相关负责人在接受记者采访时表示，已将漏洞的细节通过邮箱提交给铁道部相关部门。

招标存疑

有消息表明，如果不计算硬件和带宽投入，12306的系统成本绝对不会超过千万元。现实的情况却是，这一新客票系统的招标额高达3.3亿元。而且有券商人士声称，中标方之一太极股份在结果公布之前就已被业内知晓。

9月27日，铁道部再次发表声明，声称招标代理机构依法在“中国采购与招标网”上发布招标公告，共有7家单位购买了招标文件。标书售出20天后，项目在京公开开标，共5家投标人递交了投标文件，报价最低、得分最高的太极股份与同方股份为中标单位。

然而，从开标到确定中标候选人，铁道部需要仔细比较5家投标人大量的设计方案、报价等大量投标文件，铁道部仅仅用了不到两天的时间，动作之迅速令人生疑。

“12306网站招投标全部信息并没有公开，包括参与投标企业的名称、资质、营业执照、报价方案等信息，这怎么能证实其说的是事实呢？”知名律师董正伟说，早前，他和另外两名网民先后提出了要求铁道部公开招标信息的申请。

日前，又有网友曝出，12306系统招标人“铁道部信息技术中心”主任吴建中同时兼任15家企业法定代表人，其中的中铁信息工程集团正好与太极股份等同时参与了12306系统的建设。