北京地鐵充值漏洞仍未修補(bǔ)：可隨意改餘額

　　一個(gè)多月前，烏雲(yún)網(wǎng)曝光稱北京地鐵收費(fèi)系統(tǒng)存在基礎(chǔ)安全演算法方面的漏洞，已經(jīng)交給相關(guān)部門進(jìn)行處理，但隨後就沒了下文，大家更關(guān)注的還是今後如何漲價(jià)。

　　有專業(yè)人士稱，這主要是由於漏洞的危害尚未得到直接復(fù)現(xiàn)，説服力不強(qiáng)，因此結(jié)果就是不僅沒有得到地方有關(guān)部門的配合，也沒有得到社會的重視。

　　鋻於漏洞細(xì)節(jié)都已經(jīng)陸續(xù)向普通、實(shí)習(xí)白帽子公開，在漏洞尚未得到治理的情況下，這實(shí)質(zhì)上已經(jīng)等同於向所有人公開，因此為了引起社會的重視，有人通過對北京地鐵收費(fèi)系統(tǒng)安全演算法漏洞的研究，利用NFC手機(jī)開發(fā)了相應(yīng)的APP，成功地復(fù)現(xiàn)了攻擊該漏洞的場景。

　　從演示視頻中可以看出，利用此APP，可以隨意對北京地鐵票卡進(jìn)行扣費(fèi)、充值，原來免費(fèi)充值還真是可以的。

　　國家資訊安全漏洞共用平臺(CNVD)此前其實(shí)曾對此漏洞做出回應(yīng)，但是表示未直接復(fù)現(xiàn)，只是説會根據(jù)後續(xù)提供的資訊，對所述標(biāo)準(zhǔn)披露情況以及截圖驗(yàn)證情況進(jìn)行初步確認(rèn)，擬後續(xù)協(xié)調(diào)北京市政府資訊化主管部門處置。

　　據(jù)稱，這則視頻目前也已經(jīng)提交國家網(wǎng)際網(wǎng)路應(yīng)急中心，靜待後續(xù)吧。