小伙变造迪士尼门票获利49万 专家称属企业漏洞

看点 作者:反欺诈小卫士 2016-09-21 03:03:05
备受关注的游客持票入迪士尼却发现门票已被使用的“悬案”终于告破:在一个月不到的时间内,为乐园票务服务提供后台支持和管理工作的某科技公司员工,利用系统漏洞,通过篡改日期变造门票2600余张,获赃款49万余元。 近日,浦东新区人民检察院以涉嫌盗窃罪、掩饰、隐瞒犯罪所得罪,对相关涉案人员批准逮捕。 对此,上海迪士尼乐园方面回应称,此案件涉及第三方供应商,并非上海迪士尼度假区演职人员。游客应通过度假区官方或官方授权渠道购买门票。 嫌犯为票务提供后台支持 2016年7月14日上午,小方带着朋友来到上海迪士尼乐园,准备入园时被乐园工作人员告知,其之前在阿里旅行网通过支付宝购买的迪士尼乐园电子门票已在几天前被他人使用了,不能入园。 经过迪士尼乐园工作人员调查后发现,最近此类情况时有发生,遂怀疑系统内部相关票务信息被盗并被篡改后出售给他人。警方介入调查后,根据网站登录的IP 地址顺藤摸瓜,最终在其单位将白某某抓获,继而抓获多名出售伪造门票的下线黄牛卖家。 犯罪嫌疑人白某某,是一名90后大学毕业生。据白某某交代,案发前在上海维音信息技术公司上班,该公司是为迪士尼乐园票务服务提供后台支持和管理工作的,通过后台可以获得相关记录。 利用系统漏洞获电子门票 2016年6月,白某某认识了一个姓丁的女黄牛,丁某给了他一张迪士尼电子门票,问能不能做出来。因岗位职责熟知售票软件运营情况,他就想试着做一下。当天,白某某利用票务系统漏洞成功获得迪士尼电子门票,通过篡改日期变造了门票,随后萌发了利用这一方法牟利的念头。 白某某利用网络、微信等信息平台,发布出售迪士尼门票的信息,再根据下家需要的数量,去更改他人已预订并已付款的迪士尼电子门票日期,最后将更改后的电子门票订单确认号和门票二维码通过电子邮件发送到下家邮箱。 迪 士尼门票在暑假期间的官方价格为499元,白某某以每张280元左右的低价出售给黄牛,黄牛再加价出售给游客。由于这些改造后的电子门票大多能顺利通过安 检,很多通过网络或现场黄牛购票的游客在不知情的情况下,购买了所谓的打折票、低价票,等到真正的门票主人来游玩时,就会发现自己的门票已经被使用而无法 入园。 导致迪士尼损失87万元 据初步统计,从6月27日至7月20日短短一个月不到,犯罪嫌疑人白某某疯狂作案,盗取迪士尼乐园门票二维码票号2600余张,篡改日期后贩卖给他人共计1700余张,累计获赃款49万余元,造成上海迪士尼乐园损失87万余元。 浦 东新区人民检察院认为,犯罪嫌疑人白某某以非法占有为目的,采用秘密手段窃取公私财物,数额特别巨大,其行为已触犯《中华人民共和国刑法》第二百六十四条 之规定,涉嫌盗窃罪;而帮助其销售变造迪士尼门票的几名黄牛,犯罪嫌疑人申某、郭某明知是他人犯罪所得的赃物而予以收购,其行为已触犯《中华人民共和国刑 法》第三百一十二条之规定,涉嫌掩饰、隐瞒犯罪所得罪,依照《中华人民共和国刑事诉讼法》 相关规定,已对上述三人批准逮捕。 专家称破解无需解码软件 仅 凭一个技术人员就能成功盗票数千张门票,这是个什么样的漏洞?对此,华东师范大学电子科技副主任钱冬明介绍,常见的二维码在形成前大多是代码、字符串或是 链接地址,白某某有职务之便,完全了解生成二维码的内容和过程,无论是何种形式,只要在原先的内容加以修改,就能生成新的再利用的二维码,这些对于技术员 来说没有难度,他们甚至无需用解码软件破解。 钱冬明认为,这纯粹是企业管理漏洞,与技术漏洞无关。因为管理漏洞导致了技术员利用技术方法实现了盗票,对企业造成了损失。 而 且,白某某是在企业自身的售票系统里改日期,不是自己建造了一套系统。换言之,是企业给了白某某这个平台和权限。理论上讲,上海迪士尼某一天出票数量和当 天入园人数一比较,就能看出端倪,但没人发现。在其盗票后,不仅票务平台公司没人知晓,连购票者也毫不知情,这又是很大的漏洞。 钱冬明还指出,上海迪士尼门票的二维码不是实时、动态的,很容易被盗。通俗地说,一出票就是一组固定图案,且与购买者毫无关联,的确不安全。如果在改门票信息时需要手机号码或是动态验证码等内容,就比较靠谱,也更安全。 游客损失均由园方承担 昨 天,记者从浦东新区人民检察院获悉,近日就案件暴露出的票务系统管理漏洞,检方已以建议形式通告了迪士尼运营方。对此,上海迪士尼乐园方面表示,此案件涉 及第三方供应商,并非上海迪士尼度假区演职人员。为保障游客的个人权益,游客应通过度假区官方或官方授权渠道购买门票。 园方还表示,之前发生的游客损失均由园方承担,他们已经及时更新了电子门票修改的登录页面和所需密码形式,杜绝了此类现象的发生。 [游客质疑] 名为实名购票 进园却不核实 7月去过上海迪士尼的游客蒋小姐介绍,她和朋友就有这样的遭遇。通过某网站买了票,可当天到乐园大门口竟然发现不能使用。 蒋小姐和朋友质疑,实名制的票怎会不能用?根据迪士尼官网上的相关规定,购票时,购买人需提供相关身份证信息,一张身份证最多只能购买5张,入园时,需要携带购票凭证和购票时登记的有效身份证件原件。 蒋小姐说:“举个例子。用我的身份证为一家三口买了票,入园时我一定要在场,用身份证验票后才能带领其他两位家庭成员入园。这看着很严格的购票流程,怎么会出现上述情况?” 直到她们进了迪士尼,疑惑才解开。 “入园时的管理并没有那么严格。检票口的工作人员根本不核实身份信息,连核对照片的步骤也省去了。只要二维码能刷,就能进去。”蒋小姐说,如此看来,白某利用了一些漏洞,偷了别人已买却还没使用的票出售,其实迪士尼在执行相关规定上也有不足。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接