專家稱破解無需解碼軟件
僅憑一個技術人員就能成功盜票數千張門票,,這是個什么樣的漏洞?對此,,華東師范大學電子科技副主任錢冬明介紹,,常見的二維碼在形成前大多是代碼、字符串或是鏈接地址,,白某某有職務之便,,完全了解生成二維碼的內容和過程,無論是何種形式,,只要在原先的內容加以修改,,就能生成新的再利用的二維碼,這些對于技術員來說沒有難度,,他們甚至無需用解碼軟件破解,。
錢冬明認為,這純粹是企業(yè)管理漏洞,,與技術漏洞無關,。因為管理漏洞導致了技術員利用技術方法實現了盜票,對企業(yè)造成了損失,。
而且,,白某某是在企業(yè)自身的售票系統(tǒng)里改日期,不是自己建造了一套系統(tǒng),。換言之,,是企業(yè)給了白某某這個平臺和權限。理論上講,,上海迪士尼某一天出票數量和當天入園人數一比較,,就能看出端倪,但沒人發(fā)現,。在其盜票后,,不僅票務平臺公司沒人知曉,,連購票者也毫不知情,這又是很大的漏洞,。
錢冬明還指出,,上海迪士尼門票的二維碼不是實時、動態(tài)的,,很容易被盜,。通俗地說,一出票就是一組固定圖案,,且與購買者毫無關聯,,的確不安全。如果在改門票信息時需要手機號碼或是動態(tài)驗證碼等內容,,就比較靠譜,,也更安全。
游客損失均由園方承擔
昨天,,記者從浦東新區(qū)人民檢察院獲悉,,近日就案件暴露出的票務系統(tǒng)管理漏洞,檢方已以建議形式通告了迪士尼運營方,。對此,上海迪士尼樂園方面表示,,此案件涉及第三方供應商,,并非上海迪士尼度假區(qū)演職人員。為保障游客的個人權益,,游客應通過度假區(qū)官方或官方授權渠道購買門票,。
園方還表示,之前發(fā)生的游客損失均由園方承擔,,他們已經及時更新了電子門票修改的登錄頁面和所需密碼形式,,杜絕了此類現象的發(fā)生。
[游客質疑]
名為實名購票
進園卻不核實
7月去過上海迪士尼的游客蔣小姐介紹,,她和朋友就有這樣的遭遇,。通過某網站買了票,可當天到樂園大門口竟然發(fā)現不能使用,。
蔣小姐和朋友質疑,,實名制的票怎會不能用?根據迪士尼官網上的相關規(guī)定,,購票時,,購買人需提供相關身份證信息,一張身份證最多只能購買5張,,入園時,,需要攜帶購票憑證和購票時登記的有效身份證件原件,。
蔣小姐說:“舉個例子。用我的身份證為一家三口買了票,,入園時我一定要在場,,用身份證驗票后才能帶領其他兩位家庭成員入園。這看著很嚴格的購票流程,,怎么會出現上述情況,?”
直到她們進了迪士尼,疑惑才解開,。
“入園時的管理并沒有那么嚴格,。檢票口的工作人員根本不核實身份信息,連核對照片的步驟也省去了,。只要二維碼能刷,,就能進去?!笔Y小姐說,,如此看來,白某利用了一些漏洞,,偷了別人已買卻還沒使用的票出售,,其實迪士尼在執(zhí)行相關規(guī)定上也有不足。
