12306验证码数据库有漏洞？黄牛付费能绕过验证

原标题：12306将剔除辨识率低图形验证码

昨日，中国铁道科学研究院，研发12306票务系统的技术人员正在测试手机端的图片验证码的运行状况。

12306票务系统的研发中心内，一位技术人员正在实时检测网站数据。

12306购票网站上一些验证码引争议。

12306购票网站上一些验证码引争议。

12306验证码变迁

简单数字→数字加字母→加减法算式→闪烁变形字母（动态码）→中间添加干扰线的变形字母→图形验证码

目前正值春运购票高峰，网络上流传一些调侃铁路购票网站12306图形验证码的帖子，称图形验证码难辨识、一些物品名称没有听说过等。对此，12306相关负责人透露，为防止抢票软件自动识别，相关图形做了技术处理，但未来将会剔除一些辨识度低的图片。详情请看佰佰安全网介绍。

图片技术处理为防抢票软件

“12306的验证码，已经击败了全国99%的购票者，我已经找不到回家的路了。”近日，春运购买火车票期间，不少网友发帖吐槽12306的图形验证码。网上甚至还流传一些“奇葩”验证码的帖子，列举出识别明星脸、罕见物品等刁钻问题。

昨日，中国铁道科学研究院电子计算技术研究所副所长朱建生表示，12306购票系统没有所谓“识别明星脸”的“奇葩”验证码，网上流传的刁钻问题大多子虚乌有。“我们决不会让旅客分辨‘橘子’和‘橙子’。”朱建生说。

不过，也有一些网友表示，验证码清晰度不高，导致放票时间连续选错，从而错过了购票。朱建生表示，在春运返程订票高峰12月15日前，还将对验证码中数万张图片进行优化，剔除一些辨识度不高的图片，提高图片的清晰度。

“为了防范抢票软件的自动识别，我们会对图片做出微调、旋转、切割的处理。这样做主要是为了在方便旅客购票和打击抢票软件中寻找平衡。”朱建生说。

部分网友吐槽一些图形验证码因为生活环境和习惯问题，“南方人不认得北方人的物品，北方人也不认得南方人的物品”。朱建生解释称，12306图形验证码选择的都是生活中常见的物品，由于地域原因，“南方人没见过或北方人没见过的，或各地叫法不同的，未来在优化时都将进行筛除。”

“图形验证码有利于普通人订票”

朱建生介绍，后台数据显示，今年网站购票的平均排队等待时间仅为1.8秒，系统运行稳定，运行效率大幅提升。同时，对于验证码的正确识别率，朱建生表示，正确填写图形验证码的几率在70%左右。

12月9日10时的相关分析图显示，该时段，共有44万人输入图形验证码，其中有33万人输入正确，正确率在75%。今年春运购票最高峰的12月8日，当日11时，旅客验证码输入的正确率是69%。

“登录的人少了，成功出售的票数增加了，这说明无效地、重复地登录网站的少了。”朱建生表示，过去的数字字母识别码，一些抢票软件和公司开发的浏览器很容易进行分析，并自动跳过验证步骤。在人眼识别需要2秒的情况下，机器仅用0.1秒就能识别。“在高峰时段，相隔这样的时间，也会造成旅客买不到票。”

朱建生说，图片识别对普通人而言更加便利，人脑更容易建立问题和图片间的联系，而机器则有一定困难。

购票时间缩短至开车前半小时

据中国铁路总公司统计，自11月26日发售春运第一天车票起，截至12月9日，铁路部门共发售车票1.3亿张，同比增长9%。近九成通过网络订票成功。

今年，铁路部门还将采取多项新举措方便学生、务工人员等群体购票。目前，铁路部门已累计发售节前学生票804.8万张，同时已兑现各院校通过互联网提报的学生团体往返票计划。

“从今日起，未购买到车票，也未参加院校统一办票的学生仍可通过铁路各渠道零散购买明年1月10日至2月29日期间的学生往返车票。”中国铁路总公司运输局营运部副主任黄欣表示。

为方便务工人员购票，铁路部门今年取消了5人成团的限制，单个旅客也可申报购票计划，目前铁路部门正在受理用工企业和零散务工人员提报的春运期间往返购票计划，将于12月15日完成计划兑现。

12月16日-25日，用工企业可登录务工人员团体票办理网站查询结果，零散务工人员可根据手机短信提示，到铁路任意窗口凭乘车人二代身份证原件办理支付并取票。

此外，铁路部门今年还将互联网购票时间由不晚于开车前2小时调整为不晚于开车前30分钟，同时推出了变更到站服务，在列车上提供了联网升座服务等。

■ 焦点

验证码技术公司否认准确率8%

公司负责人回应质疑，称图形验证码能抵御大部分黄牛；图库会不断增替

正值春运抢票潮，12306购票系统推出的图形验证码饱受吐槽，部分网友将矛头指向为该系统提供验证码服务的企业，质疑“图形验证码”方式未完全阻挡黄牛，还贴出黄牛党购票的订单图。另有网友跟帖称，这一技术并非原创而是抄袭谷歌。此外，还有网友称官方未披露相关招标项目和费用等细节。

对此，为12306系统提供图形验证码服务的是杭州微触科技有限公司。该公司官网显示，除铁路12306外，其用户一栏中还包括“中国邮政”、“金山快盘”等图标。

该企业的工商信息资料显示，杭州微触科技有限公司自2012年9月成立并开始营业，注册资本为30万元人民币，法定代表人为宋超。新京报记者检索发现，宋超名下还有一家名为北京点触互联科技有限公司的企业，于12月3日刚刚成立，注册资本为100万元。

对于网友的质疑，昨日宋超表示，除偶尔有较难识别的图片外，图形验证码能够抵御大部分的黄牛。

1 图形验证码数据库泄露？

图片数量并非固定，为动态增替

据知情人透露，12306官网推出图形验证码，原本是为了拦截技术黄牛，“但实际上只是拦截了一部分。”

据其透露，图形验证码推出没多久后，就有人将图形验证码后台数据库窃取，并建立了“打码平台”。黄牛购票时，只需通过打码平台打码，即可绕过图形验证码这一关卡。其称目前打码平台的打码识别率已超过90%。

他介绍，黄牛每打码一次，就需要付1分至5分不等费用给打码平台，而黄牛每购买一张票，通常需要打码十几二十次，多的时候打码上百次。

同时，近日360浏览器也宣布，已全面攻破了12306图形验证码，实现了全自动识别技术，并首次公布了581种12306图形验证码大数据。

对此，杭州微触科技有限公司负责人宋超表示，图片的数量不是一个固定的数字，是不断动态增替的过程，会“自己不断通过用户的使用数据来更新。”他介绍，系统每天都会抓取大量的图片，“通过用户的选择，用户验证的过程，会自动帮助系统通过机器学习获得新的图库，安全性会随着验证量的提高而自主提升。目前我们已经通过验证系统自动标示了近千万的精准图片，用户的每一次验证都在帮助人工智能在图像识别领域添砖加瓦，训练机器学习。”