中國鐵路客戶服務中心

建設費用

編輯

儘管官方宣稱「新一代客票系統」花費了3.3億元，卻沒有列在鐵道部2011年的決算中，更沒有任何詳細支出數據。[31]雖然社會要求公開費用，但是鐵道部拒絕公開，並被起訴。[32]之後，由於網站伺服器的一次升級，使得購票必須經歷長時間的排隊，造成購票難度加大，因此廣受批評。[33]而2013年1月《21世紀經濟報道》經過調查認為該網站建設成本超過5億元。[34][35]

《南方都市報》報道稱， 「新一代客票系統一期工程專案」中標的2個公司價格分別為1.99億元和1.3億， 而業內人士稱，一般客票系統的造價不會超過3千萬元（不包括硬件費用）[36]。

事實上，12306一期工程3個億（含硬件）的花費，相比百度、阿里巴巴或騰訊一年的巨額開銷，並不算貴[37]。

身份證驗證漏洞

編輯

2014年1月6日，發現使用假身份證可以訂票。12306稱，該網站未與公安系統聯網，對身份證號資訊沒有稽核環節。目前對身份證進行稽核環節的，只有車站售票窗口、公安制證窗口和進站驗票處及代售點[38]。1月14日，國務院新聞辦稱，12306網站建立12306聯網身份證系統[39]。

2014年3月1日，12306網站啟用身份資訊核驗，未通過核驗的身份資訊不能完成購票[40]。2015年11月初，12306網站推出了手機雙向驗證措施。根據鐵路部門的訊息，用戶看到提示資訊的旅客，在這3天時間裏未驗證仍可購票；但3天後旅客還沒有完成驗證，就會影響購票[41][42]。

驗證碼

編輯

2014年1月期間，12306網站曾將靜態的驗證碼升級爲不斷搖動的彩色動態驗證碼，致使不少搶票軟件失效[43]。但這一措施未能有效遏制黃牛黨[44]。

12306網站圖片驗證碼輸入頁面模擬

後來，12306網站的驗證碼又升級為圖片驗證碼，其數量多達581種，按照要輸入兩個關鍵詞的登入規則，用戶將有機會嘗試336980道不同驗證碼題目機會，而一次性輸入正確的僅為8%，兩次成功的比例為27%，65%的人需要三次甚至四次以上才能輸對，部分網民為此用Adobe Photoshop等軟件製作惡搞版驗證碼以示諷刺。[45]不過，鐵路部門官方回應表示，正在向上級匯報情況，作出相應的調整方案[46][47]。2015年12月10日，中國鐵路總公司表示，12306網站將對圖片驗證碼中的圖片的清晰度和解像度進行調整，並剔除錯誤率較高的圖片[48]。

但這樣的驗證方式給視障人士帶來了不便。在12306網站的驗證碼升級為圖片驗證碼後，引發全國各地百餘名視障人士給鐵總寫聯名建議信，呼籲加強網站無障礙建設，不過鐵總對此一直未予回應。2016年1月，有一名視障人士狀告中國鐵路總公司、中國鐵路資訊科技中心和中國鐵道科學研究院，要求提供無障礙驗證服務，同時索賠110元打車費和1元精神損失費。而中國工信部頒布的《網站設計無障礙技術要求》規定了「如果網頁中存在非文字驗證碼，則應提供適合多種殘疾人和有特殊需求的健全人使用的不離開當前操作介面的替代表現形式」[49]。2016年9月，北京海淀法院對此案一審宣判，駁回陳文全部訴訟請求[50]。

2016年12月10日，中國鐵路總公司表示，為迎接2017年春運，鐵路部門將對12306網站進行擴容改造，同時推出在購票環節減少使用驗證碼的措施，近六成車票發售時旅客不再需要輸入驗證碼[51]。而後到2018年春運，網站購票需要驗證碼的比例壓縮到15%以下，並且圖形驗證碼隨每日熱門線路的出現而動態出現；同年底，為迎接2019年春運，鐵路部門對12306上出現的驗證碼進行了再最佳化策略，驗證碼的出現將控制在5%到10%左右，且僅在熱門車次的售票中出現[52]。

證書問題

編輯

參見：HTTPS、安全通訊協定和數碼證書

在新版訂票頁面中，中國鐵路客戶服務中心使用了HTTPS以加密數據，但是在2017年12月之前，中國鐵路客戶服務中心並未採用得到廣泛認可的數碼證書認證機構的證書，而是採用了由其自己簽章的證書，證書機構的名稱為「Sinorail Certification Authority」（SRCA）頒發的證書。

當瀏覽器檢測到其根證書庫當中沒有「SRCA」這個證書時，就出於安全性的因素阻止用戶訪問網站。為此，12306網站要求用戶手動安裝根證書以便瀏覽器放行[53]。此方法並非對所有瀏覽器有效，在使用某些瀏覽器時用戶需要單獨進行設置。

另外，每個SSL數碼證書都有一個金鑰。一般金鑰一旦失竊，正規認證機構及系統廠商就會宣布此證書無效[54]。對於較小的認證機構，一般為證書設立一個證書吊銷列表（CRL）[55]，當金鑰失竊時，證書會自動被列為失效。SRCA的證書沒有CRL，系統廠商也不會專門為此發布一個更新[56]。因此黑客可能會利用這個金鑰以SRCA的身份發放證書。一旦黑客把這個證書頒發給了一些惡意網站，安裝了SRCA證書的瀏覽器將放行這些網站，無法抵禦由此引發的惡意攻擊。為此有人[誰？]建議用戶在購票後立刻將SRCA的證書設為不受信任，或者只單獨將將購票頁面加入瀏覽器的信任列表。

當用戶開始進行支付時（訪問到pay.12306.cn），中國鐵路客戶服務中心則會向用戶出示一份Verisign簽發的有效證書，但這只能保證用戶在支付時的安全。

2017年12月12日，余票查詢頁面的域名（kyfw.12306.cn）改為使用DigiCert簽發的證書，非強制啟用HTTPS的首頁仍然使用自簽章證書。目前，全站均已使用DigiCert簽發的證書。[57]

穩定性

編輯

中國鐵路客戶服務中心網站的穩定性曾廣遭詬病，如執行期間多次出現「伺服器忙」等提示，甚至幾度宕機。[58][59][60][61]中國大陸「烏雲漏洞報告平台」也曾多次曝出該網站存在安全漏洞。[62]

雖然有着各種各樣的問題，但12306在硬件組態上仍是全球效能最強的客運網上售票系統，運行效率較低原因在於客運列車票務系統特殊的資料庫結構及其數據更新方式（每買一張車票需要更新相應線路的所有車票數據）。但是，特殊的數據庫結構並非12306遭受詬病的唯一原因，問題還在於中國大陸的鐵路客運能力面對中國大陸特有的「春運」周期仍顯得捉襟見肘，無法同時滿足所有旅客的客運需求，在這種時期「一票難求」的問題仍然存在於各普通客運以及高速列車客運線路[63]。

經過5年的執行，12306總體執行已經趨於穩定，在2015年、2016年春運購票高峰期間執行良好，據稱12306已經採用阿里巴巴集團的阿里雲計算技術[64]。

需要改進

編輯

取票後的實名火車票遺失後不能憑身份證退票和改簽[65]。12306的網站和客戶端至今都沒有繁體版介面，簡體版無法透過輸入繁體字搜尋車站。[66]

軟件漏洞

編輯

2014年7月17日，鐵路12306購票軟件再次被外界曝光存在安全漏洞，黃牛破解該漏洞後，一個人就可以將全車廂的票買下來[67]。

遭遇撞庫攻擊

編輯

2014年12月25日，一份大小14MB，包含131653條用戶名、密碼和身份資訊的檔案在網上載播開來。12306當天發表聲明，表示網站資料庫所有用戶密碼均為多次加密的非明文轉換碼，此次洩漏的資訊系經其他網站或管道流出[68]。

鐵路公安機關於2014年12月25日晚，將涉嫌竊取並洩露他人電子資訊的犯罪嫌疑人蔣某某、施某某抓獲。他們通過收集互聯網某遊戲網站以及其他多個網站洩露的用戶名加密碼資訊，嘗試登陸其他網站進行「撞庫」，非法獲取用戶的其他資訊，並謀取非法利益[69]。

「網絡黃牛」黑色產業鏈

編輯

「網絡黃牛」利用12306網站大量刷票囤票，供給下游黃牛，這些黃牛再通過QQ、線下、旅行社等各種途徑向旅客兜售車票。[70]一些刷票軟件都是模擬用戶的正常請求去刷票，在技術手段上很難限制這個行為，進而產生了代刷、代搶的利益產業鏈。