[新聞] 【獨家】電腦天才又駭了 1元買車票提醒

看板Bus作者 (moon)時間10年前 (2015/11/13 01:59), 編輯推噓4(7326)
留言36則, 18人參與, 最新討論串1/1
2015/11/13 00:02 蘋果日報 曾刪除臉書創辦人貼文、成功協助家屬破解藝人楊又穎手機密碼而聲名大噪的台灣電腦天 才張啟元,月前才以1元購票揭露統一ibon系統漏洞,上月底他又發現位居龍頭的統聯客 運,在金流系統上同樣能以1元購票,他實際購票搭車,統聯公司發現後以侵占罪向警方 備案,總經理強調:「統聯沒漏洞」,將保留法律追訴權,也強調絕對不會與張合作。 臺灣電腦高手張啟元(21歲)上月底以線上刷卡方式,購買統聯臺中往臺北、1張要價220 元的票,他先在統聯網站登記座位和票數,選擇以信用卡付款後,再以瀏覽器的「開發者 模式」修改華南銀行網站上的車票金額,讓車票變成1元即可購得;隨後,張實際搭車北上 ,主動至統聯櫃台告知系統漏洞,統聯則立即向轄區警方備案,雙方都進了警局。 張啟元指出,他月前發現統聯購票系統中的「金流串接驗證」有漏洞,票價儘管是交由信 用卡扣款,但統聯不會發現金額已被修改,他僅是想提醒統聯,才會使用違法票券;張表 示,若有心人士利用此漏洞取票,再拿到櫃檯退票,便可從中獲利,以台北到高雄1張千 元的票價為例,若都修改成1元購票,一車近30個座位,手指一點就可輕鬆賺得3萬多元。 統聯客運總經理則強調,「是信用卡的漏洞,我們沒有漏洞」,因張啟元透過系統至華南 銀行付款,變更程式將金額改成1元,認為張主要是更動華南銀行的頁面,與統聯沒有關 係,目前已通知銀行,也向警方備案,將交由法務部門處理後續提告問題,至於是否考慮 與張合作來解決現有「金流驗證」問題,他則以「跟張合作要去哪邊鑽漏洞嗎?我想不會 吧!」(突發中心孔德廉、潘姵如/台北報導) http://m.appledaily.com.tw/realtimenews/article/new/20151113/731514 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.238.16.1 ※ 文章網址: https://www.ptt.cc/bbs/Bus/M.1447351189.A.1CF.html
11/13 02:19, , 1F
先不論買票搭車的正當性 最後一句的觀念是還在石器時代嗎
11/13 02:19, 1F
11/13 09:05, , 2F
華南的廠商慘了…柯柯
11/13 09:05, 2F
11/13 09:23, , 3F
人家幫你抓洞 還告人家
11/13 09:23, 3F
11/13 09:27, , 4F
因為正常買票流程不會去用到開發者工具改數據阿
11/13 09:27, 4F
11/13 09:35, , 5F
而他後面拿去搭車的行為 不符合阻卻違法要件~~
11/13 09:35, 5F
11/13 10:10, , 6F
台灣遇到抓漏洞的 先告再說 不然公司沒面子 反觀國外
11/13 10:10, 6F
11/13 10:10, , 7F
遇到這種事情 會積極爭取人才
11/13 10:10, 7F
11/13 10:32, , 8F
統聯 不意外
11/13 10:32, 8F
11/13 10:36, , 9F
台灣以前也有寫 CIH 病毒的,後來也去趨勢了
11/13 10:36, 9F
11/13 10:38, , 10F
4F顯然不清楚網站安全性測試就是要以不正常流程去測試
11/13 10:38, 10F
11/13 10:38, , 11F
不過他後面拿去搭車,被告活該,驗證也不是這樣驗證的
11/13 10:38, 11F
11/13 10:44, , 12F
如果不搭車被告說不過,但是拿去搭車、使用,根本算圖利
11/13 10:44, 12F
11/13 10:44, , 13F
11/13 10:44, 13F
11/13 10:48, , 14F
這是公訴罪吧,告不告不是你統聯說的算
11/13 10:48, 14F
11/13 11:45, , 15F
CIH明明就是去技嘉做了好一陣子...
11/13 11:45, 15F
11/13 11:48, , 16F
台北到高雄一張千元? 哪來這麼貴的票
11/13 11:48, 16F
11/13 12:29, , 17F
我很清楚 也很清楚人家統聯沒請他做測試喔 而他的問題在
11/13 12:29, 17F
11/13 12:29, , 18F
拿去搭了 這才是問題 有獲利犯罪行為
11/13 12:29, 18F
11/13 12:44, , 19F
再厲害的程式都有人可以破啦,只是降低風險而已。
11/13 12:44, 19F
11/13 13:14, , 20F
所以問題就在於 他把一元車票拿去實際搭車??
11/13 13:14, 20F
11/13 13:15, , 21F
若說經實際測試 一元車票到取票都沒問題 以此證明漏洞存在
11/13 13:15, 21F
11/13 13:16, , 22F
就到此為止 改將一元車票拿去退票並附上漏洞說明
11/13 13:16, 22F
11/13 13:16, , 23F
這樣還會有問題嗎??
11/13 13:16, 23F
11/13 13:23, , 24F
拜託一下 雖然他拿去搭車了 但他是主動找窗口提及這個問
11/13 13:23, 24F
11/13 13:24, , 25F
題 處理方法絕對比有比帶去鴿舍半日遊還好的吧.....
11/13 13:24, 25F
11/13 13:39, , 26F
#1MHCwv1_ (Gossiping) 自己本人出來澄清要不要去看?
11/13 13:39, 26F
11/13 13:39, , 27F
某幾個推文證明台灣真是埋沒人才的地方,呵
11/13 13:39, 27F
11/13 13:46, , 28F
去看過了 感覺可以轉過來 但能轉過來嗎??
11/13 13:46, 28F
11/13 15:50, , 29F
好啦 沒有犯意無罪 所以做什麼都可以 是吧?
11/13 15:50, 29F
11/13 15:52, , 30F
人家不理就可以犯法? 跟不聽我的意見就打人有什麼兩樣
11/13 15:52, 30F
11/13 15:52, , 31F
他很厲害 自然會有人網羅 但選擇做錯的事就是要付代價阿
11/13 15:52, 31F
11/13 15:55, , 32F
我還是那句 這事沒到阻卻違法的程度 做了就是有錯
11/13 15:55, 32F
11/13 16:00, , 33F
如果眼界只到這裡 那的確沒什麼好談的
11/13 16:00, 33F
11/13 16:01, , 34F
相信也沒看過事主的說法
11/13 16:01, 34F
11/13 17:49, , 35F
拒搭統聯這種公司,沒有資訊競爭力
11/13 17:49, 35F
11/13 18:17, , 36F
真找人檢測網路售票漏洞不知要花多少錢.統x還不知道感恩
11/13 18:17, 36F
更多 moon790625 的文章
文章代碼(AID): #1MHDEL7F (Bus)