9月18日凌晨消息,铁道部唯一的官方订票网站12306.cn周日完成了新一轮升级,但是多位用户反映,升级后用户购票可能会被强制排队,由于系统存在多处漏洞,排队后购买失败的概率很大。
家住北京亚运村的刘许已经是第三次从12306购票了。经过了春节、五一长假的“磨练”,他已经对购票流程相当熟悉,早早的开始关注购票信息。不过,这一次他可能要失望了。
当他好不容易完成所有订票流程后,系统提示订单已经提交,但是需要30分钟时间排队处理。在等待了漫长的30分钟后,系统却显示订单处理失败,需要重新提交。
用户提交订单后会被强制进入排队系统
刘许皱起眉头反复尝试提交订单,但是等待了多个30分钟后,每一次都被提示处理失败。
给暗箱操作留下空间
据官方介绍,排队系统是12306上周日升级后新加入的功能,目的是为了减轻网站的瞬时压力,只在用户订购部分热门线路时才会被激活。不过这个功能上线后,效率低下引发大量网友吐槽,截至17日晚,相关微博结果超过100万条。
“用户订票的时候需要在队列中排队,时间不等,而且倒计时完成后还会重新倒计时,12306的处理方式很流氓。”网友@飙攻城狮说,这种方式好比风景区的厕所不够多,不去新增厕所,而是挂上牌子说厕所每人限上一次。
此外,还有多位网友反映排队计时不准。“刚刚显示排队20分钟,现在又说要排队25分钟。”网友@小艾_江边表示,之前买票,系统有多少余票都可以实时看到,能不能买到也能马上知道,但是现在只能傻等排队倒计时完成。
小艾认为,现在的订票系统是一个黑洞,用户不知道有多少票,也不知道能不能买到,这样设置讲给内部的暗箱操作和腐败留下空间。
12306的客服人员在与新浪科技交流时承认排队系统确实存在漏洞,用户体验不佳。他表示将向有关负责人反映这个问题,但是并未给出解决的时间表。这位客服人员建议拨打95105105进行电话订票。不过,新浪科技多次拨打95105105均未接通。
12306域名存在劫持风险
事实上,12306官方订票网站存在漏洞并非首次。来自第三方安全问题反馈平台乌云的报告称,12306网站重要业务系统控制不严,加上一些管理不善,导致IT系统可以被攻入,12306.cn的域名可能会被劫持。
发现这则漏洞的人员介绍说,12306.cn域名的持有人为刘刚,邮箱为liugang@sinorail.com,而在中铁信息工程集团办公平台首页则赫然写着默认密码为123,该人员使用刘刚的邮箱和默认密码顺利登入了办公平台。
通过系统漏洞可以轻易进入中铁信息工程集团内部办公系统,查看到所有人员的信息。
由于“刘刚”是系统管理员,属于高权限用户,使用他的账号可以轻易找到这家公司全部人员信息、财务信息,并可以进行删除、修改等操作。目前,中铁信息工程集团已经确认该漏洞的存在。
除此之外,12306还曾被发现存在邮局漏洞、SQL注入漏洞、敏感文件泄露等多项漏洞。
一位安全专家分析说,12306网站从一开始就没有把安全性作为核心需求,从设计阶段就已经漏洞百出,同时代码质量和用户体验都与主流互联网公司相去甚远,还停留在上个世纪的水平。
狙击网络代购谋求独享网购渠道
虽然12306体验不佳,铁道部门却并不想与他人分食网购火车票的大蛋糕。
今年3月,京东商城、携程网、天猫等相继通过与铁友网或代售点合作的方式,开展火车票网购。其中京东商城是代购形式为旅客提供网上购票服务,每张火车票收取5元服务费以及每件20-35元不等的快递费,其合作方铁友网具有线下实体代售点运营执照。
4月初,铁道部发布公告,强调铁道部门没有授权或委托任何其他网站开展火车票发售及代购业务,并称国家规定售票除了5元服务费,不能加收任何其他费用。京东商城等网购火车票服务被全面叫停。
随后,一场整顿火车票代售点与电商网合作的行动随之展开。据《中国经营报》报道,铁道部要求各个代售点不得自行开办网上售票业务,不得以各种方式与其他网站合作或联营;售票时必须查验乘车人身份证件原件或复印件,不得通过报号等方式。
中国旅游研究院院长戴斌在新浪微博表示,“禁止第三方网站销售火车票是典型政府主导并保护封闭式垄断,不利国民旅游福祉和产业发展。”
携程网CEO范敏则转发上述微博,并评论道:“推动市场良性竞争是政府的天职,放开高铁票务有利铁老大改善民生形象,机票早已市场化,高铁为何不可放开?”
