身份信息无验证 刷新输码全自动 退票流程无限制 利用支付时间差——
三大漏洞 助黄牛“秒票”
春运进行时
为了能囤到票,如今的黄牛都玩起了“技术活儿”。昨日央视《新闻30分》报道,部分黄牛利用抢票软件,10分钟就能刷走1245张火车票。
央视记者走访发现,黄牛使用抢票软件在12306网站自动反复刷票,由于抢票软件突破了12306设置的每5秒才能刷新一次的限制,把时间缩短到毫秒,购票速度更快。
此外,在购买过程中,抢票软件无需手动输入信息且可以毫秒速度自动识别验证码,使用多个账号和大量虚假身份信息,最快几秒钟就可把整趟列车的票囤个精光。
上午《法制晚报》记者采访一名IT技术人士,他表示,黄牛在倒票过程中,主要是利用12306设置的“45分钟支付期”这一时间差,反复抢票、卖票、退票再抢票,循环地保证这部分票一直控制在手。而帮助黄牛实现这一流程的,主要有三大漏洞。
1
造假
漏洞:身份信息无验证
黄牛通过算号软件或者在线算号网站,只要指定出生地、出生日期及性别,即可生成无数格式正确的身份证号码。随意复制其中的一个身份证号并任意填写乘客姓名,在12306网站都可以成功订票。
分析:假身份信息之所以能够成功购买车票,是因为12306并没有与公安系统联网,无法对身份证号等信息进行审核。在未与公安系统联网的情况下,12306本身只能检测身份证最后一位的运算逻辑,但算号软件早已经解决了这个问题,因此12306无法检测身份信息真伪。
建议
只要把身份信息、手机号等与公安系统挂钩验证,即可有效堵住这一漏洞。
2
抢票
漏洞:刷新、输码全自动
通过抢票软件,每台电脑可同时登录几十个账号,黄牛只需多开几台电脑,再利用大量虚假身份信息去“占”票即可。12306规定一个账号最多可购买5张票,即使按每台电脑开20个账号来算,理论上来讲每台电脑在同一时间可以抢到100张票。
分析:12306账号目前很容易就能实现双开,因此黄牛同时可抢到的票数量会更多。虽然12306设置两次查询必须间隔5秒,但抢票软件突破了这一限制,把刷新时间缩短到毫秒;此外,抢票软件能自动识别验证码。通过上述手段,黄牛的下单速度更快,几乎可以秒购整节车厢甚至整列火车的票。
建议
可以对同一IP或同一网卡MAC地址登录的账号数量进行限制,减少黄牛刷票量,同时缩短站内刷票时间。此外,在验证码上进行加密或二级的技术手段或汉字,应该是更好的方式。
3
倒票
漏洞:退票流程不设限
成功囤票后,黄牛立即在线上兜售。若有顾客付款,他们马上退票,同时用抢票软件不断刷新,以便退票进入票仓后第一时间抢到,之后再用顾客的真实身份信息付款。若票未卖出,则将剩票退票,此后再度用抢票软件抢回来。
分析:12306网站设置了45分钟的支付期,这段时间内不付款也可保留这张票,黄牛正是利用这一时间差反复抢票退票再抢,始终掌握这部分票。此外,在12306退票无任何验证流程,虽然春运期间退票手续费提高到20%,但这部分费用最后会转嫁给购票者,黄牛并不担心。
建议
防黄牛倒票,关键要在退票流程下工夫,比如设置同一账号一段时间的退票次数等,防止黄牛抢票后反复倒票。