北京地铁否认收费系统存漏洞：安全符合国标

本报讯 昨日，网友在网络上发布帖子称，北京地铁收费系统存在基础安全算法方面的漏洞，可以随意更改地铁充值卡内金额。面对这一说法，北京地铁公司回应称，经核实纯属造谣，北京地铁自动售检票系统符合国家安全等级标准要求，具备全面的安全防范与控制能力。

10月22日，网友“eycp”在乌云网上发布《北京地铁收费系统基础安全算法漏洞》一帖，称北京地铁收费系统基础安全算法存在漏洞，属于设计缺陷、逻辑错误。按照该网友的说法，该漏洞“违反国家标准《CJ/T-166》，使用私自开发的签名算法，由于未经测试便投入工程应用，现发现强度不够，可以被完全破解”。

目前，该网友提交的漏洞信息仍在乌云网漏洞列表栏目。按照网友提交的信息显示，北京地铁收费系统基础安全算法的漏洞危害等级为“高”。发现这一漏洞后，网友即将细节通知厂商并且等待厂商处理。10月27日，“厂商已经确认”漏洞。

针对网友“eycp”曝光的这个缺陷和漏洞，有网友又专门为此做了一次攻击试验。根据该网友发布在网上的视频显示，在北京地铁站内，试验者购买了一张面值2元的单程地铁票，并利用手机中某款手机应用对单程地铁票进行充值。

视频中的试验者使用的这款手机应用可以设置成“增加一元”、“增加一分”和“扣减一分”的选项。在将手机应用设置为“扣减一分”后，实验者将手机贴近地铁单程票。手机上显示的画面随即发生变化，单程票的面值从2元减少。反复试验后，手机屏幕上显示这张地铁单程票内金额为1.93元。

随后，试验者再度拿此单程票在地铁站内的查询机查询，查询结果显示，该单程票面值变成1.93元。从演示视频中可以看出，利用此手机应用，可以随意对北京地铁票卡进行扣费、充值。

昨日下午6点40分，北京地铁公司通过官方微博回应称，近期网络上流传的“北京地铁充值系统漏洞”的帖子，经核实纯属造谣，北京地铁自动售检票系统符合国家安全等级标准要求，具备全面的安全防范与控制能力，“请市民不信谣，不传谣，谨防上当受骗造成损失，规范使用车票，文明乘车。目前公安部门对此事已经介入调查，请市民遵守国家有关法律法规”。

据了解，乌云网是国内一个网站安全问题反馈及发布平台，用户可以在线提交发现的网站安全漏洞，企业用户也可通过该平台获知自己网站的漏报。此前，乌云网创始人孟先生接受北京青年报记者采访时就曾表示，发布在网页上的漏洞多数由“白帽子”发现。“白帽子”是对善意的网络安全技术员的简称。发现漏洞后，“白帽子”通常先将细节向厂商提交，等待漏洞修复后再对外公布。