網(wǎng)曝北京地鐵收費系統(tǒng)存漏洞 回應稱純屬造謠
- 發(fā)布時間:2014-12-04 08:50:00 來源:人民網(wǎng) 責任編輯:時習
昨日,網(wǎng)友在網(wǎng)絡上發(fā)布帖子稱,北京地鐵收費系統(tǒng)存在基礎安全算法方面的漏洞,可以隨意更改地鐵充值卡內金額。面對這一說法,北京地鐵公司回應稱,經(jīng)核實純屬造謠,北京地鐵自動售檢票系統(tǒng)符合國家安全等級標準要求,具備全面的安全防范與控制能力。
10月22日,網(wǎng)友“eycp”在烏云網(wǎng)上發(fā)布《北京地鐵收費系統(tǒng)基礎安全算法漏洞》一帖,稱北京地鐵收費系統(tǒng)基礎安全算法存在漏洞,屬于設計缺陷、邏輯錯誤。按照該網(wǎng)友的說法,該漏洞“違反國家標準《CJ/T-166》,使用私自開發(fā)的簽名算法,由于未經(jīng)測試便投入工程應用,現(xiàn)發(fā)現(xiàn)強度不夠,可以被完全破解”。
目前,該網(wǎng)友提交的漏洞信息仍在烏云網(wǎng)漏洞列表欄目。按照網(wǎng)友提交的信息顯示,北京地鐵收費系統(tǒng)基礎安全算法的漏洞危害等級為“高”。發(fā)現(xiàn)這一漏洞后,網(wǎng)友即將細節(jié)通知廠商并且等待廠商處理。10月27日,“廠商已經(jīng)確認”漏洞。
針對網(wǎng)友“eycp”曝光的這個缺陷和漏洞,有網(wǎng)友又專門為此做了一次攻擊試驗。根據(jù)該網(wǎng)友發(fā)布在網(wǎng)上的視頻顯示,在北京地鐵站內,試驗者購買了一張面值2元的單程地鐵票,并利用手機中某款手機應用對單程地鐵票進行充值。
視頻中的試驗者使用的這款手機應用可以設置成“增加一元”、“增加一分”和“扣減一分”的選項。在將手機應用設置為“扣減一分”后,實驗者將手機貼近地鐵單程票。手機上顯示的畫面隨即發(fā)生變化,單程票的面值從2元減少。反復試驗后,手機屏幕上顯示這張地鐵單程票內金額為1.93元。
隨后,試驗者再度拿此單程票在地鐵站內的查詢機查詢,查詢結果顯示,該單程票面值變成1.93元。從演示視頻中可以看出,利用此手機應用,可以隨意對北京地鐵票卡進行扣費、充值。
昨日下午6點40分,北京地鐵公司通過官方微博回應稱,近期網(wǎng)絡上流傳的“北京地鐵充值系統(tǒng)漏洞”的帖子,經(jīng)核實純屬造謠,北京地鐵自動售檢票系統(tǒng)符合國家安全等級標準要求,具備全面的安全防范與控制能力,“請市民不信謠,不傳謠,謹防上當受騙造成損失,規(guī)范使用車票,文明乘車。目前公安部門對此事已經(jīng)介入調查,請市民遵守國家有關法律法規(guī)”。
據(jù)了解,烏云網(wǎng)是國內一個網(wǎng)站安全問題反饋及發(fā)布平臺,用戶可以在線提交發(fā)現(xiàn)的網(wǎng)站安全漏洞,企業(yè)用戶也可通過該平臺獲知自己網(wǎng)站的漏報。此前,烏云網(wǎng)創(chuàng)始人孟先生接受北京青年報記者采訪時就曾表示,發(fā)布在網(wǎng)頁上的漏洞多數(shù)由“白帽子”發(fā)現(xiàn)。“白帽子”是對善意的網(wǎng)絡安全技術員的簡稱。發(fā)現(xiàn)漏洞后,“白帽子”通常先將細節(jié)向廠商提交,等待漏洞修復后再對外公布。
熱圖一覽
高清圖集賞析
- 股票名稱 最新價 漲跌幅
- 最嚴調控下滬深房價仍漲 人口老齡化影響三四線樓市
- 樂天大規(guī)模退出中國市場 供應商趕赴北京總部催款
- 北京16家銀行上調首套房貸利率 封殺“過道學區(qū)房”
- 10萬輛共享單車僅50人管遭質疑 摩拜ofo優(yōu)勢變劣勢
- 去年聯(lián)通、電信凈利潤均下滑 用戶爭奪漸趨白熱化
- 奧迪否認“官民不等價”:優(yōu)惠政策并非只針對公務員
- 季末銀行考核在即 一日風云難改“錢緊錢貴”現(xiàn)狀
- 美圖7小時暴跌四成 虧損業(yè)績如何支撐600億市值受拷問
- 監(jiān)管重壓下P2P退出平臺增加 網(wǎng)貸行業(yè)進入冷靜期
- 配資炒股虧損逾百萬 股民將信托公司告上法庭