12306再曝漏洞，虚假身份证可直接购票遭黄牛利用

　　继春运购票首日查询等功能无法使用后，12306再现漏洞。近日，有知情人爆料称，12306火车订票网站对身份证信息缺乏审核，用虚假的身份证号可直接购票。

　　记者体验发现，尽管用该方式购买的火车票无法取票，但不少黄牛利用这个漏洞，在网站上用假身份证大量囤票，找到卖家后立刻退票回购进行转卖。

　　昨日，12306客服人员表示，12306网站未与公安的身份认证系统联网，无法即时查验身份信息真伪导致漏洞。

　　体验

　　身份证算号器伪造信息可购票

　　按照该知情人提供的方法，昨日下午，新京报记者首先用“身份证算号器”进行搜索，查询出不少在线算号网站。点击第一个搜索结果进入某网站，网站的声明显示，“指定出生地、出生日期及性别就可生成1到999个格式正确的身份证号码”。

　　该声明下方，有出生地点、出生时间、性别和生成数量四个填写项。记者填写了性别男、出生日期为2014年1月1日，点击后果然生成了10个不同的身份证号。

　　随意复制其中的“110101201401019537”身份证号。进入12306订票界面，新京报记者选择了1月3日早上开往廊坊的高铁列车。点击预订后，新京报记者将身份证号粘贴上去，并随意填写乘客姓名为“赵大力”。网站直接弹出窗口提示已锁定，提示付款购买成功。

　　随后，新京报记者又换了个假身份证号进行尝试，再次购买成功。

　　回应

　　客服称12306网站未与警方联网

　　昨日，12306网站客服人员称从未接到类似举报。该客服人员表示，算出来的身份证号之所以能够购买，原因是网站并未与公安相关系统联网，对身份证号等信息没有审核环节。

　　一名铁路内部人士证实， 目前12306网站检测身份证号真伪主要是靠检测身份证最后一位的运算逻辑，而该逻辑早已被身份证算号软件破解，因此，在未与公安系统联网的情况下，单凭数据的逻辑验证无法检测身份证号信息真伪。

　　■ 揭秘

　　黄牛虚假购票退票重新抢回

　　12306客服人员称，用这种虚假身份证号和姓名购票将无法取票。但一名知情人表示，不少黄牛恰恰利用这一点，大规模抢票囤积。

　　该知情人表示，这一漏洞使得黄牛可以先通过其他身份证信息“占座”，在抢票高峰期利用软件辅助大规模购票，避开高峰后，再进行退票重购。目前网络黄牛倒卖车票的流程分三个步骤，分别为“买”、“退”和“重新抢回”。

　　具体来说，首先，黄牛会使用身份证算号器预先算出可用的身份证号并记录，然后打开抢票软件进行抢票。

　　据知情人透露，目前黄牛普遍使用的软件可支持同一台电脑同时登录20个账号使用。每个账号在同一时间可抢5张车票，由此为100张。此外，该软件有“双开”功能，即在同一台电脑上最多可打开10个。因此，理论上看，一台电脑同时可抢1000张火车票。

　　成功抢到车票之后，黄牛会进行兜售。一旦有顾客付款，他们就立刻退票。退票将再次进入铁路售票系统。此时，他们会再次打开抢票软件，不间断刷票，在火车票重回票仓的第一时间抢到。而后，用买家的身份信息填写购买车票，并出手转售。

　　据该知情人士称，据其所知，部分黄牛所使用的软件与市面上的网络抢票软件不同，抢票效果更好，功能也更多。此前，他所了解到的该软件售价为每个月2000元，且只能通过熟识的黄牛或“圈内人”介绍才能购买到。

　　而通过身份证信息无需审核来“囤票”的，并非仅有黄牛。去年10月本报曾报道，携程网(49.41, -0.21, -0.42%)曾为确保“自由行”参与者能购买到车票，会用准备好的身份信息买下大量车票，“等客户下订单提交了个人信息后，再退票用客户身份信息把票买回来”。

　　■ 探访

　　12306随机退票难挡黄牛回购

　　上月初，12306网站新版上线。铁科院副研究员王明哲对媒体表示，为防止有黄牛通过囤票的方式来倒卖，实行了随机退票机制。即一个人退的票将在随机的时间点返回票仓进行出售，但“时间不会太长”。改变了以往“一个人退了，另一边立刻就能刷到”。

　　昨日，铁路内部人士亦证实此事。他表示，目前火车退票重新入库已改为“随机”，但随机时间约为3小时，意味着黄牛退出的票将在3小时内随机返回网站再次出售。

　　此外，开车前6小时内退的车票，暂时并未采取“随机”处理，依旧是退票后立刻返回票仓，这给黄牛提供了转卖空间。

　　此前，有媒体探访发现，火车站的黄牛与顾客谈妥后，一人进行退票操作，一人在自助购票机上刷新以“回购”。

　　对此，一名“黄牛”表示，“随机回库”使得这种倒卖方法不再可行，现在黄牛票往往需要提前一天“预订”。

　　据其介绍，尽管新措施导致黄牛退票回购的成功率下降，但由于退票手续费不高，黄牛又可以一次性抢回多张车票，使得黄牛并未真正被挡在门外，“就算不能退一张回购一张，总能退几张回购成功一张”。

　　此外，他表示黄牛已基本摸清退票会在3小时内随机回库，因此更多选择在“人少的时间段，晚上6点到12点之间”进行退票，开启刷票软件等待退票出现，然后进行回购。

　　昨晚，记者在某网络论坛上以“代买火车票”为关键词搜索。一名“黄牛”称，如果要买春节前几日的车票，最好现在就告知信息预订。记者质疑现在网站“不好抢票”，该黄牛表示，“你先定下来，我自有办法抢到，票到付款”。

　　■ 应对

　　升级验证码 多个抢票软件失效

　　1月1日，12306网站做出升级，将静态的验证码变成了不断摇动的彩色动态验证码，这一升级导致众多抢票软件无法识别，几乎“失效”。

　　此前，不少抢票软件都带有自动识别验证码功能。昨日，记者使用360推出的抢票软件登录，发现原本可自动识别验证码填表的功能已经“失效”，抢票仍需手动填写登录验证码，并在提交订单前再次手动输入验证码。

　　对此，铁路总公司客服曾回应称，由于“其他软件和网站已经影响到正常购票顺序，这个动态验证码就是要保障旅客正常购票”。

　　截至昨晚，多家抢票软件公司均表示，暂时无法识别新的验证码。不少网友也表示新验证码“识别难度很大”，360浏览器在微博上公开指责12306把“验证码”当成“密码锁”。

　　昨日，一名互联网从业人员称，12306新升级的动态验证码“破解难度很大”。而一名黄牛则表示，“验证码有影响，但肯定会破解的”。