昨日，網(wǎng)友在網(wǎng)絡(luò)上發(fā)布帖子稱，北京地鐵收費(fèi)系統(tǒng)存在基礎(chǔ)安全算法方面的漏洞，可以隨意更改地鐵充值卡內(nèi)金額。面對(duì)這一說法，北京地鐵公司回應(yīng)稱，經(jīng)核實(shí)純屬造謠，北京地鐵自動(dòng)售檢票系統(tǒng)符合國(guó)家安全等級(jí)標(biāo)準(zhǔn)要求，具備全面的安全防范與控制能力。

　　10月22日，網(wǎng)友“eycp”在烏云網(wǎng)上發(fā)布《北京地鐵收費(fèi)系統(tǒng)基礎(chǔ)安全算法漏洞》一帖，稱北京地鐵收費(fèi)系統(tǒng)基礎(chǔ)安全算法存在漏洞，屬于設(shè)計(jì)缺陷、邏輯錯(cuò)誤。按照該網(wǎng)友的說法，該漏洞“違反國(guó)家標(biāo)準(zhǔn)《CJ/T-166》，使用私自開發(fā)的簽名算法，由于未經(jīng)測(cè)試便投入工程應(yīng)用，現(xiàn)發(fā)現(xiàn)強(qiáng)度不夠，可以被完全破解”。

　　目前，該網(wǎng)友提交的漏洞信息仍在烏云網(wǎng)漏洞列表欄目。按照網(wǎng)友提交的信息顯示，北京地鐵收費(fèi)系統(tǒng)基礎(chǔ)安全算法的漏洞危害等級(jí)為“高”。發(fā)現(xiàn)這一漏洞后，網(wǎng)友即將細(xì)節(jié)通知廠商并且等待廠商處理。10月27日，“廠商已經(jīng)確認(rèn)”漏洞。

　　針對(duì)網(wǎng)友“eycp”曝光的這個(gè)缺陷和漏洞，有網(wǎng)友又專門為此做了一次攻擊試驗(yàn)。根據(jù)該網(wǎng)友發(fā)布在網(wǎng)上的視頻顯示，在北京地鐵站內(nèi)，試驗(yàn)者購(gòu)買了一張面值2元的單程地鐵票，并利用手機(jī)中某款手機(jī)應(yīng)用對(duì)單程地鐵票進(jìn)行充值。

　　視頻中的試驗(yàn)者使用的這款手機(jī)應(yīng)用可以設(shè)置成“增加一元”、“增加一分”和“扣減一分”的選項(xiàng)。在將手機(jī)應(yīng)用設(shè)置為“扣減一分”后，實(shí)驗(yàn)者將手機(jī)貼近地鐵單程票。手機(jī)上顯示的畫面隨即發(fā)生變化，單程票的面值從2元減少。反復(fù)試驗(yàn)后，手機(jī)屏幕上顯示這張地鐵單程票內(nèi)金額為1.93元。

　　隨后，試驗(yàn)者再度拿此單程票在地鐵站內(nèi)的查詢機(jī)查詢，查詢結(jié)果顯示，該單程票面值變成1.93元。從演示視頻中可以看出，利用此手機(jī)應(yīng)用，可以隨意對(duì)北京地鐵票卡進(jìn)行扣費(fèi)、充值。

　　昨日下午6點(diǎn)40分，北京地鐵公司通過官方微博回應(yīng)稱，近期網(wǎng)絡(luò)上流傳的“北京地鐵充值系統(tǒng)漏洞”的帖子，經(jīng)核實(shí)純屬造謠，北京地鐵自動(dòng)售檢票系統(tǒng)符合國(guó)家安全等級(jí)標(biāo)準(zhǔn)要求，具備全面的安全防范與控制能力，“請(qǐng)市民不信謠，不傳謠，謹(jǐn)防上當(dāng)受騙造成損失，規(guī)范使用車票，文明乘車。目前公安部門對(duì)此事已經(jīng)介入調(diào)查，請(qǐng)市民遵守國(guó)家有關(guān)法律法規(guī)”。

　　據(jù)了解，烏云網(wǎng)是國(guó)內(nèi)一個(gè)網(wǎng)站安全問題反饋及發(fā)布平臺(tái)，用戶可以在線提交發(fā)現(xiàn)的網(wǎng)站安全漏洞，企業(yè)用戶也可通過該平臺(tái)獲知自己網(wǎng)站的漏報(bào)。此前，烏云網(wǎng)創(chuàng)始人孟先生接受北京青年報(bào)記者采訪時(shí)就曾表示，發(fā)布在網(wǎng)頁(yè)上的漏洞多數(shù)由“白帽子”發(fā)現(xiàn)。“白帽子”是對(duì)善意的網(wǎng)絡(luò)安全技術(shù)員的簡(jiǎn)稱。發(fā)現(xiàn)漏洞后，“白帽子”通常先將細(xì)節(jié)向廠商提交，等待漏洞修復(fù)后再對(duì)外公布。