首页> 资讯> 要闻> 公共安全> 正文

12306验证码数据库有漏洞?黄牛付费能绕过验证

2015.12.11 09:292116

原标题:12306将剔除辨识率低图形验证码

12306验证码数据库有漏洞?黄牛付费能绕过验证

昨日,中国铁道科学研究院,研发12306票务系统的技术人员正在测试手机端的图片验证码的运行状况。

12306验证码数据库有漏洞?黄牛付费能绕过验证

12306票务系统的研发中心内,一位技术人员正在实时检测网站数据。

12306验证码数据库有漏洞?黄牛付费能绕过验证

12306购票网站上一些验证码引争议。

12306验证码数据库有漏洞?黄牛付费能绕过验证

12306购票网站上一些验证码引争议。

12306验证码变迁

简单数字→数字加字母→加减法算式→闪烁变形字母(动态码)→中间添加干扰线的变形字母→图形验证码

目前正值春运购票高峰,网络上流传一些调侃铁路购票网站12306图形验证码的帖子,称图形验证码难辨识、一些物品名称没有听说过等。对此,12306相关负责人透露,为防止抢票软件自动识别,相关图形做了技术处理,但未来将会剔除一些辨识度低的图片。详情请看佰佰安全网介绍。

图片技术处理为防抢票软件

“12306的验证码,已经击败了全国99%的购票者,我已经找不到回家的路了。”近日,春运购买火车票期间,不少网友发帖吐槽12306的图形验证码。网上甚至还流传一些“奇葩”验证码的帖子,列举出识别明星脸、罕见物品等刁钻问题。

昨日,中国铁道科学研究院电子计算技术研究所副所长朱建生表示,12306购票系统没有所谓“识别明星脸”的“奇葩”验证码,网上流传的刁钻问题大多子虚乌有。“我们决不会让旅客分辨‘橘子’和‘橙子’。”朱建生说。

不过,也有一些网友表示,验证码清晰度不高,导致放票时间连续选错,从而错过了购票。朱建生表示,在春运返程订票高峰12月15日前,还将对验证码中数万张图片进行优化,剔除一些辨识度不高的图片,提高图片的清晰度。

“为了防范抢票软件的自动识别,我们会对图片做出微调、旋转、切割的处理。这样做主要是为了在方便旅客购票和打击抢票软件中寻找平衡。”朱建生说。

部分网友吐槽一些图形验证码因为生活环境和习惯问题,“南方人不认得北方人的物品,北方人也不认得南方人的物品”。朱建生解释称,12306图形验证码选择的都是生活中常见的物品,由于地域原因,“南方人没见过或北方人没见过的,或各地叫法不同的,未来在优化时都将进行筛除。”

“图形验证码有利于普通人订票”

朱建生介绍,后台数据显示,今年网站购票的平均排队等待时间仅为1.8秒,系统运行稳定,运行效率大幅提升。同时,对于验证码的正确识别率,朱建生表示,正确填写图形验证码的几率在70%左右。

12月9日10时的相关分析图显示,该时段,共有44万人输入图形验证码,其中有33万人输入正确,正确率在75%。今年春运购票最高峰的12月8日,当日11时,旅客验证码输入的正确率是69%。

“登录的人少了,成功出售的票数增加了,这说明无效地、重复地登录网站的少了。”朱建生表示,过去的数字字母识别码,一些抢票软件和公司开发的浏览器很容易进行分析,并自动跳过验证步骤。在人眼识别需要2秒的情况下,机器仅用0.1秒就能识别。“在高峰时段,相隔这样的时间,也会造成旅客买不到票。”

朱建生说,图片识别对普通人而言更加便利,人脑更容易建立问题和图片间的联系,而机器则有一定困难。

购票时间缩短至开车前半小时

据中国铁路总公司统计,自11月26日发售春运第一天车票起,截至12月9日,铁路部门共发售车票1.3亿张,同比增长9%。近九成通过网络订票成功。

今年,铁路部门还将采取多项新举措方便学生、务工人员等群体购票。目前,铁路部门已累计发售节前学生票804.8万张,同时已兑现各院校通过互联网提报的学生团体往返票计划。

“从今日起,未购买到车票,也未参加院校统一办票的学生仍可通过铁路各渠道零散购买明年1月10日至2月29日期间的学生往返车票。”中国铁路总公司运输局营运部副主任黄欣表示。

为方便务工人员购票,铁路部门今年取消了5人成团的限制,单个旅客也可申报购票计划,目前铁路部门正在受理用工企业和零散务工人员提报的春运期间往返购票计划,将于12月15日完成计划兑现。

12月16日-25日,用工企业可登录务工人员团体票办理网站查询结果,零散务工人员可根据手机短信提示,到铁路任意窗口凭乘车人二代身份证原件办理支付并取票。

此外,铁路部门今年还将互联网购票时间由不晚于开车前2小时调整为不晚于开车前30分钟,同时推出了变更到站服务,在列车上提供了联网升座服务等。

■ 焦点

验证码技术公司否认准确率8%

公司负责人回应质疑,称图形验证码能抵御大部分黄牛;图库会不断增替

正值春运抢票潮,12306购票系统推出的图形验证码饱受吐槽,部分网友将矛头指向为该系统提供验证码服务的企业,质疑“图形验证码”方式未完全阻挡黄牛,还贴出黄牛党购票的订单图。另有网友跟帖称,这一技术并非原创而是抄袭谷歌。此外,还有网友称官方未披露相关招标项目和费用等细节。

对此,为12306系统提供图形验证码服务的是杭州微触科技有限公司。该公司官网显示,除铁路12306外,其用户一栏中还包括“中国邮政”、“金山快盘”等图标。

该企业的工商信息资料显示,杭州微触科技有限公司自2012年9月成立并开始营业,注册资本为30万元人民币,法定代表人为宋超。新京报记者检索发现,宋超名下还有一家名为北京点触互联科技有限公司的企业,于12月3日刚刚成立,注册资本为100万元。

对于网友的质疑,昨日宋超表示,除偶尔有较难识别的图片外,图形验证码能够抵御大部分的黄牛。

1 图形验证码数据库泄露?

图片数量并非固定,为动态增替

据知情人透露,12306官网推出图形验证码,原本是为了拦截技术黄牛,“但实际上只是拦截了一部分。”

据其透露,图形验证码推出没多久后,就有人将图形验证码后台数据库窃取,并建立了“打码平台”。黄牛购票时,只需通过打码平台打码,即可绕过图形验证码这一关卡。其称目前打码平台的打码识别率已超过90%。

他介绍,黄牛每打码一次,就需要付1分至5分不等费用给打码平台,而黄牛每购买一张票,通常需要打码十几二十次,多的时候打码上百次。

同时,近日360浏览器也宣布,已全面攻破了12306图形验证码,实现了全自动识别技术,并首次公布了581种12306图形验证码大数据。

对此,杭州微触科技有限公司负责人宋超表示,图片的数量不是一个固定的数字,是不断动态增替的过程,会“自己不断通过用户的使用数据来更新。”他介绍,系统每天都会抓取大量的图片,“通过用户的选择,用户验证的过程,会自动帮助系统通过机器学习获得新的图库,安全性会随着验证量的提高而自主提升。目前我们已经通过验证系统自动标示了近千万的精准图片,用户的每一次验证都在帮助人工智能在图像识别领域添砖加瓦,训练机器学习。”

2 一次性准确识别率仅8%?

网传“奇葩”验证码为PS合成;后端数据显示成功率非常高

按照360浏览器提供的大数据,12306网站的购票验证码一次性输入准确的比例为8%,两次输入准确的比例为27%,三次甚至4次以上输入准确的比例为65%。

360技术人士称,在12306推出复杂验证码时,他们通过技术手段对其进行集中统计后发现,其一次识别通过率处于不稳定的状态。部分生僻图片难以辨认和12306进行的不合适的图片处理,造成整体识别率降低,在一些时段上,识别率甚至不足5%。

技术人士表示,从技术上讲,这种方式具有一定的创新性,复杂的图形验证码,提升了自动识别的技术门槛,但其图片质量较差,再加上有一些生僻且容易混淆的图片以及不合适的图片处理,造成用户体验较差。客观来说,12306复杂验证码确实对打击黄牛起到了一定的作用,例如其对部分验证码进行模糊颗粒化处理,可以防止黄牛采用专用抢票软件来刷票。

针对部分网络公司提出的验证码成功率低的情况,宋超称,公司点触验证码的产品相对成熟,后端数据显示成功率非常高,除部分特别难识别的图片外,网传的一些“奇葩”验证码图片几乎均为PS合成制作。

3 与铁道部门合作前后股权变动?

创业公司有人离开有人加入很正常

有网友指出,铁路系统开始使用图形验证码是在今年3月份左右,而该公司作为技术提供方,在铁道部门开始使用图形验证码前后,公司股权立即发生变动,“大致为删除一人,增加一人。”

宋超在今年5月份接受媒体采访称,每个创业公司都会经历瓶颈,之前有一段时间公司发展困难,资金流出现紧张。一名同学看不到希望,跳槽走了。

“创业公司很苦,有的因此离开,也有因为愿意一起朝着目标努力而加入,是很正常的事,”他称,现在后台可以支持起每天3亿以上的请求,“系统比往年一定要增强,”他们目前还在吸纳更多的技术人才加入,在验证安全、账户安全、密码安全和行为安全方面,完成用户信息安全保护的全面保障。

4 图形验证码技术是否抄袭谷歌?

自称2012年提出图标式验证码,谷歌2015年提出

有网友称,这种图形验证码技术并非原创,而是抄袭谷歌。

据多家媒体此前报道,2011年,宋超在哈尔滨工程大学念研究生时发现了验证码的“BUG”,此后,宋超与其他几名学技术的同伴凭借自主研发的“点触验证码”和“点触云安全系统”参加新媒体创业大赛获奖,得到数百万元的天使投资,此后他休学并成立了杭州微触科技有限公司。

据报道,“点触验证码”是将传统验证码中模糊的背景换成清晰图片,上面是随机排列的标识(汉字、数字、英文字母、有意义的图标等),用户通过按照要求点击(或者触摸)图片上指定的位置,完成验证。该项目已经拥有3项专利。

“我们在2012年提出了图标式验证码、图文验证码和滑动验证码和旋转式验证码,结合行为安全控制,并一直在优化演进,目前有5万多家网站在使用点触的服务,谷歌是2015年初才提出的图标验证,说我们抄他们的不是冤枉吗?”宋超称,微触很早即开始进行点触验证码的开发工作,自2012年开始公司化运营,现在已经在北京建立了公司,专注于用户信息安全和隐私安全。

■ 声音

如样本足够存破解可能

互联网专家史文勇认为,图形验证码技术确实比平时的文字验证更加复杂,但他并不认为图形验证能够起到实在的作用,“有些软件能够自动将所有出现的图片配对好,很难说能够防止黄牛刷票。”

他称,在利用相关软件刷票能够比常规买票速度更快的情况下,一些购票者也会寻求软件的帮助。

“人多票少,有一些技术人员刷票能比个人更早买到票,任何工具都无法百分百防止。”梆梆安全创始人兼CEO阚志刚称,实际测试表明,借助于谷歌等巨头的智能识图技术,能够识别大部分图片的涵义,准确率达85%,如果采集样本数据足够大,确实有破解图形验证码的可能性,一旦图形验证码被黄牛破解,他们就可以继续刷票。

他表示,确实图形验证码在识别上增加了难度,但破解难度上面并没有革命性的改变,应该建立多种联合机制抵制黄牛刷票行为。

■ 追访

订票高峰会“瘫痪”吗?

每秒可承载上万访问,高峰期运行顺畅

昨日,记者随中国铁道科学研究院相关人员参观了12306购票系统的后台。监控大厅的显示屏上,显示了铁路总公司和铁科院两个生产中心的实时运行数据。这些数据包括网站、手机APP的实时登录人数,购票支付情况、车站取票情况等。

“春运期间,购票数据每半小时就会出现一个尖峰,这显示了我们每天21个放票时间段的高峰购票情况。”中国铁道科学研究院电子计算技术研究所副所长朱建生告诉记者,系统从每天7点开始运行,一直持续到24点停止支付。

朱建生介绍,12306网站每秒钟可承受上万次访问并保持系统平稳运行。“12月8日高峰期,全天16个小时访问量是3600万,到每秒钟不到1000次访问,这完全在网站设计的承受范围内。”

同时,据12306后台系统相关数据,今年12306网站在12月8日最高峰当天登录用户达3600万,旅客成功购票数是608.7万张。而去年在购票高峰期,登录用户有5600万,售票仅为563万张。

为何仍“一票难求”?

增开列车调整运行解决供需矛盾

昨日,记者询问12306相关负责人,对于此前媒体报道的“记者买不到票,而黄牛仍然能买到票”的事情,相关负责人表示,图形验证码在一定程度上阻止了黄牛抢票、囤票,但黄牛可能利用更大的带宽、更快的网速专业从事抢票。

“一些第三方平台和软件还利用未注册的实名旅客信息进行抢票、囤票,铁路部门将对此事采取相关措施。”黄欣也提示旅客,不要使用这些平台买票,以免个人信息泄露。

朱建生表示,后台仍然从技术上监测到一些试图破译12306图形验证码的情况,未来不排除对验证码系统进行再次改进升级。

铁路部门介绍,提高铁路运力是最终化解供需矛盾的重要方向。今年春运,铁路部门每天开行旅客列车3488对,比2015年春运增长14.5%。其中,图定旅客列车3048对,春运增开旅客列车440对。

“12月16日增开的列车投入后,以及一些运行图调整,再加上一定的退票,现在没买到票的旅客到时还会有票。”朱建生说。

安全网扩展阅读:

被12306“最难验证码”打败的到底是谁?

春运黄牛猖獗现身 实名制为何也治不了?

( 责任编辑: 刘长利 )

展开剩余全文
发表我的评论
提交评论

相关推荐

12306验证码数据库有漏洞?黄牛付费能绕过验证

12306验证码数据库有漏洞?黄牛付费能绕过验证

2015.12.11 1713
12306防恶意刷票“封”IP误伤正常购票旅客

12306防恶意刷票“封”IP误伤正常购票旅客

2015.12.03 1876
春运火车票今开抢 黄牛现身兜售高价票

春运火车票今开抢 黄牛现身兜售高价票

2015.11.26 1584
春运黄牛猖獗现身 实名制为何也治不了?

春运黄牛猖獗现身 实名制为何也治不了?

2015.11.27 2906
除夕火车票开售 “黄牛”转行代抢收百元辛苦费

除夕火车票开售 “黄牛”转行代抢收百元辛苦费

2015.12.10 1049
加载更多

最新资讯

网络水军一人控制600台手机不停转评赞:转评赞只需几元钱

网络水军一人控制600台手机不停转评赞:转评赞只需几元钱

2024.11.21 713
一男子频繁家暴妻子致其脾脏破裂死亡,辩称尼龙绳抽打死不了人 事发山东

一男子频繁家暴妻子致其脾脏破裂死亡,辩称尼龙绳抽打死不了人 事发山东

2024.11.20 845
太原一17岁男孩被持钉棍围殴,身上被扎成窟窿眼?太原警方通报

太原一17岁男孩被持钉棍围殴,身上被扎成窟窿眼?太原警方通报

2024.11.20 537
永安市一打假博主称团队在展销会遭商户围殴,当地市监局介入,警方:已立案调查

永安市一打假博主称团队在展销会遭商户围殴,当地市监局介入,警方:已立案调查

2024.11.20 861
德阳一中学生晨跑倒地后脑死亡,家属:校医没做任何抢救

德阳一中学生晨跑倒地后脑死亡,家属:校医没做任何抢救

2024.11.19 827

热门排行

不得随意禁止外地群众返乡过年!

不得随意禁止外地群众返乡过年!

2022.01.29 8745
美国解除中国学生赴美限制 家长们喜忧参半 敢不敢放儿去?

美国解除中国学生赴美限制 家长们喜忧参半 敢不敢放儿去?

2021.04.30 31412
女子举报公务员丈夫出轨公款消费 纪委避而不谈

女子举报公务员丈夫出轨公款消费 纪委避而不谈

2021.12.30 15805
重磅!三孩政策来了!网友“炸锅”!敢不敢生?

重磅!三孩政策来了!网友“炸锅”!敢不敢生?

2021.05.31 29474
浙江男子卖掉亲生儿子后带现妻游山玩水?你怎么看?

浙江男子卖掉亲生儿子后带现妻游山玩水?你怎么看?

2021.04.30 28376
加载更多
返回顶部
返回首页