曾破解LINE漏洞獲60萬獎金!白帽駭客張啟元「入侵高鐵系統抓Bug」遭判6月

2020年04月12日 10:22

▲張啟元。(圖/翻攝張啟元臉書)

▲張啟元2018年12月入侵高鐵訂票系統,竄改訂票數額後企圖詐領20萬元遭判刑。(圖/翻攝張啟元臉書)

記者徐愷昕/桃園報導

曾破解臉書與Apple Pay漏洞的張啟元於2018年12月間入侵高鐵訂票系統APP,以40元購得1張台北至南港車票,張購票成功後反覆修改訊息封包造成系統誤認檢核通過退款20萬元,高鐵察覺系統出問題報警查辦,桃園地院依「電腦製作不實財產權得喪變更紀錄得利未遂罪」處有期徒刑6月。全案仍可上訴。

25歲的張啟元於2018年12月7日下午1時49分,在台中市住家以Iphone X手機與Lenovo筆電內安裝台灣高鐵T-Express訂票系統應用程式APP,訂購南港站至台北站區間車票1張40元,待訂購成功後以筆電安裝之FIDDLER應用程式進行攔截,再竄改原有票價40元的參數刪除,變更為0元或1元,再將竄改訊息電磁紀錄透過筆電上傳至位於桃園市中壢區高鐵北路青埔站營運大樓機房訂票系統內,藉以干擾訂票伺服器系統。

張反覆竄改後的訊息封包遭高鐵訂票APP主機檢核「總票價金額不正確而未成功」,張再以原價40元購得車票,以相同手法將退票金額、應支付之手續費(原價20元)參數,不斷以400,000、-200,000、200,000等數額竄改訊息封包電磁紀錄的不正確指令,讓高鐵訂票APP遭不正常影響而通過檢核,系統欲將20萬元的款項退還張男,但高鐵公司每日退款批次作業檢核發現退款金額異常,調閱相關訂票紀錄後察覺有異報警查辦。

桃園地院審理時,張啟元坦承未獲高鐵公司同意就擅自變更網路系統的資料,但否認有想詐取高鐵財產的犯行,他辯稱自己的行為只是希望台灣的資安更進步,且若要惡意攻擊,就不會使用真實姓名。

張的辯護律師則表示,張具有電腦資訊系統漏洞偵測專業,長期以來即為LINE、臉書、蘋果等國際型企業,主動進行系統漏洞偵測,長期以來都在行「白帽者」義舉,是真的為了網路資訊安全而不斷默默付出努力,過去也因此獲得各家企業公開表揚讚譽(張曾因替通訊軟體LINE找到漏洞,獲得LINE頒發2萬美金,折合台幣約61萬元),且此次他以真實姓名進入系統,明顯就無不法意圖,自始至終也未獲得任何財產利益。

雖張自稱「白帽駭客」,但法官認為,國內外的白帽駭客都是先經過企業平台授權才做測試,但張並沒有,他的行為反而使高鐵訂票APP系統陷入混亂,嚴重將可能會讓訂購票系統癱瘓,影響社會大眾訂購票之權利,勢必讓高鐵公司耗費大量人力查核,審結判處有期徒刑6月,全案仍可上訴。

►偷偷分享少女秘密!

【相關新聞】

「台灣駭客天才」張啟元找到LINE漏洞 官方送他60萬獎金致謝

入侵高鐵訂票系統「退款20萬」 駭客張啟元起訴

分享給朋友:

讀者迴響