1.媒体来源:
三立
2.完整新闻标题:
ibon购票系统有漏洞?简单几秒、所有票券都只要一元
http://www.setn.com/ColumnNews.aspx?NewsID=95290 (图很精彩,建议直接看)
3.完整新闻内文:
记者黄郁棋/综合报导
“一块钱!一块钱!所有的东西,通通都只要一块钱!”这不是夜市跳楼大甩卖,也不是老板想不开,而是你在网络上看到的所有票券、礼品,通通都只要一块钱。日前恶搞脸书创办人祖克伯帐号的网络玩家张启元(他坚持自己的程度称不上骇客)意外发现,恐怕高达“三分之二”的台湾电子商务网站,都有着天大的漏洞:只要简单几步骤,就能用一块钱买走所有东西。他以ibon为例,手上拿着5张义大游乐世界的门票,加起来居然只要一块钱。
▲5张义大世界的门票,居然只要1块钱?(图/张启元独家提供)
“你知道这样多少钱吗?790*4=1,不骗你。”他发现,只要修改网页上的几个数值,竟然就能够骗过系统、成功结帐,用一块钱买到任何他想要的东西。
张启元跟记者解释这“一块钱”的背后,到底是多么严重的漏洞,而且一点也不困难。“你只要进去开发者界面,修改几个数值后,再选择数量,就可以让价格变0元了。但是因为0元不能结帐,所以你只要再订一张1块钱的票即可。”(由于担心有厂商来不及修正问题,所以报导不详细解释破解方式)
张启元甚至怀疑,如果将价格改为负数,再使用悠游卡付款,是否会反过来变成“储值”功能;不过因为他并不想从中获利,没有实际尝试;他在发现漏洞、成功结帐后,第一时间就通知统一超商(7-11)这个漏洞,统一也紧急将“ibon购票系统”停机维护。
▲统一超商ibon在得知漏洞存在后,第一时间停机下架了。(图/取自ibon售票系统)
统一超商向记者表示,其实他们的系统在第一时间就有警示异常,而在张启元回报这项漏洞后,他们的工程师也已经立刻开始进行修正,将伤害降到最低,并且停机更新;但是有问题的,其实不只是统一超商。张启元说,自己在测试大约30家电子商务网站后,居然有高达20家可以用类似的方式达到同样效果。
“建议金石堂的国泰世华信用卡付款页面、争鲜、游戏基地点数、UDN购票等,都要重新检查自己的系统;金流一定要有后台验证的动作,并且防止任何前台修改的可能性。”
▲这是UDN的购票系统,也有类似问题存在。(图/张启元独家提供)
▲游戏基地购买点数的系统,也有类似的问题存在。(图/张启元独家提供)
▲金石堂的Macbook Pro,也用1块钱结帐成功了。(9月9日结帐的,事后赶紧取消了)
▲▼争鲜也出现一样的状况,他们可以用“假点数”折抵的方式全部抵用。(图/张启元独家提供)
▲▼就连电商龙头老大之一的“Yahoo购物”,都疑似可以使用这个漏洞结帐。(图/张启元独家提供)
张启元表示,虽然他发现各家都有同样的漏洞,但是他其实并不想从中获利(也不想冒这个风险),所以已经试着回报各家电子商务网站有这些漏洞,也取消了订单(已经取票实验成功的,则不会使用);不过,并不是每一个商家都愿意像统一在第一时间修复,甚至还有企业与银行互踢皮球、推卸责任的情况发生。虽然电商资安人员应该能发现不正常的交易,但是能够用一块钱在柜台取票成功,怎么看都不太正常。
由于网络购物已经逐渐成为台湾人的主流购物模式,一旦“金流”方面的保安做得不够确实,带给消费者与企业自身的麻烦,恐怕后患无穷。
4.完整新闻连结 (或短网址):
http://www.setn.com/ColumnNews.aspx?NewsID=95290
5.备注:
ibon都为此停机了,还有厂商在踢皮球,呵呵...
感觉很大条啊,大家都有的共同问题!而且不需要成为骇客,也办得到...