曾破解LINE漏洞获60万奖金!白帽骇客张启元「入侵高铁系统抓Bug」遭判6月
▲张启元2018年12月入侵高铁订票系统,窜改订票数额后企图诈领20万元遭判刑。(图/翻摄张启元脸书)
曾破解脸书与Apple Pay漏洞的张启元于2018年12月间入侵高铁订票系统APP,以40元购得1张台北至南港车票,张购票成功后反复修改讯息封包造成系统误认检核通过退款20万元,高铁察觉系统出问题报警查办,桃园地院依「电脑制作不实财产权得丧变更纪录得利未遂罪」处有期徒刑6月。全案仍可上诉。
25岁的张启元于2018年12月7日下午1时49分,在台中市住家以Iphone X手机与Lenovo笔电内安装台湾高铁T-Express订票系统应用程式APP,订购南港站至台北站区间车票1张40元,待订购成功后以笔电安装之FIDDLER应用程式进行拦截,再窜改原有票价40元的参数删除,变更为0元或1元,再将窜改讯息电磁纪录透过笔电上传至位于桃园市中坜区高铁北路青埔站营运大楼机房订票系统内,借以干扰订票伺服器系统。
张反复窜改后的讯息封包遭高铁订票APP主机检核「总票价金额不正确而未成功」,张再以原价40元购得车票,以相同手法将退票金额、应支付之手续费(原价20元)参数,不断以400,000、-200,000、200,000等数额窜改讯息封包电磁纪录的不正确指令,让高铁订票APP遭不正常影响而通过检核,系统欲将20万元的款项退还张男,但高铁公司每日退款批次作业检核发现退款金额异常,调阅相关订票纪录后察觉有异报警查办。
桃园地院审理时,张启元坦承未获高铁公司同意就擅自变更网路系统的资料,但否认有想诈取高铁财产的犯行,他辩称自己的行为只是希望台湾的资安更进步,且若要恶意攻击,就不会使用真实姓名。
张的辩护律师则表示,张具有电脑资讯系统漏洞侦测专业,长期以来即为LINE、脸书、苹果等国际型企业,主动进行系统漏洞侦测,长期以来都在行「白帽者」义举,是真的为了网路资讯安全而不断默默付出努力,过去也因此获得各家企业公开表扬赞誉(张曾因替通讯软体LINE找到漏洞,获得LINE颁发2万美金,折合台币约61万元),且此次他以真实姓名进入系统,明显就无不法意图,自始至终也未获得任何财产利益。
虽张自称「白帽骇客」,但法官认为,国内外的白帽骇客都是先经过企业平台授权才做测试,但张并没有,他的行为反而使高铁订票APP系统陷入混乱,严重将可能会让订购票系统瘫痪,影响社会大众订购票之权利,势必让高铁公司耗费大量人力查核,审结判处有期徒刑6月,全案仍可上诉。
【相关新闻】
►「台湾骇客天才」张启元找到LINE漏洞 官方送他60万奖金致谢
►入侵高铁订票系统「退款20万」 骇客张启元起诉