本报讯 昨日,网友在网络上发布帖子称,北京地铁收费系统存在基础安全算法方面的漏洞,可以随意更改地铁充值卡内金额。面对这一说法,北京地铁公司回应称,经核实纯属造谣,北京地铁自动售检票系统符合安全等级标准要求,具备全面的安全防范与控制能力。
10月22日,网友“eycp”在乌云网上发布《北京地铁收费系统基础安全算法漏洞》一帖,称北京地铁收费系统基础安全算法存在漏洞,属于设计缺陷、逻辑错误。按照该网友的说法,该漏洞“违反标准《CJ/T-166》,使用私自开发的签名算法,由于未经测试便投入工程应用,现发现强度不够,可以被完全破解”。
目前,该网友提交的漏洞信息仍在乌云网漏洞列表栏目。按照网友提交的信息显示,北京地铁收费系统基础安全算法的漏洞危害等级为“高”。发现这一漏洞后,网友即将细节通知厂商并且等待厂商处理。10月27日,“厂商已经确认”漏洞。
针对网友“eycp”曝光的这个缺陷和漏洞,有网友又专门为此做了一次攻击试验。根据该网友发布在网上的视频显示,在北京地铁站内,试验者购买了一张面值2元的单程地铁票,并利用手机中某款手机应用对单程地铁票进行充值。
视频中的试验者使用的这款手机应用可以设置成“增加一元”、“增加一分”和“扣减一分”的选项。在将手机应用设置为“扣减一分”后,实验者将手机贴近地铁单程票。手机上显示的画面随即发生变化,单程票的面值从2元减少。反复试验后,手机屏幕上显示这张地铁单程票内金额为1.93元。
随后,试验者再度拿此单程票在地铁站内的查询机查询,查询结果显示,该单程票面值变成1.93元。从演示视频中可以看出,利用此手机应用,可以随意对北京地铁票卡进行扣费、充值。
昨日下午6点40分,北京地铁公司通过官方微博回应称,近期网络上流传的“北京地铁充值系统漏洞”的帖子,经核实纯属造谣,北京地铁自动售检票系统符合安全等级标准要求,具备全面的安全防范与控制能力,“请市民不信谣,不传谣,谨防上当受骗造成损失,规范使用车票,文明乘车。目前公安部门对此事已经介入调查,请市民遵守有关法律法规”。
据了解,乌云网是国内一个网站安全问题反馈及发布平台,用户可以在线提交发现的网站安全漏洞,企业用户也可通过该平台获知自己网站的漏报。此前,乌云网创始人孟先生接受北京青年报记者采访时就曾表示,发布在网页上的漏洞多数由“白帽子”发现。“白帽子”是对善意的网络安全技术员的简称。发现漏洞后,“白帽子”通常先将细节向厂商提交,等待漏洞修复后再对外公布。