游客稱,檢票口的工作人員根本不核實(shí)身份信息,,連核對照片的步驟也省去了,。只要二維碼能刷,就能進(jìn)去,?!?晨報記者 殷立勤
晨報記者 黃慧清 李東華
見習(xí)記者 謝 竲 吳藝璇
備受關(guān)注的游客持票入迪士尼卻發(fā)現(xiàn)門票已被使用的“懸案”終于告破:在一個月不到的時間內(nèi),為樂園票務(wù)服務(wù)提供后臺支持和管理工作的某科技公司員工,,利用系統(tǒng)漏洞,,通過篡改日期變造門票2600余張,獲贓款49萬余元,。
近日,,浦東新區(qū)人民檢察院以涉嫌盜竊罪、掩飾,、隱瞞犯罪所得罪,,對相關(guān)涉案人員批準(zhǔn)逮捕。
對此,,上海迪士尼樂園方面回應(yīng)稱,,此案件涉及第三方供應(yīng)商,并非上海迪士尼度假區(qū)演職人員,。游客應(yīng)通過度假區(qū)官方或官方授權(quán)渠道購買門票,。
嫌犯為票務(wù)提供后臺支持
2016年7月14日上午,小方帶著朋友來到上海迪士尼樂園,,準(zhǔn)備入園時被樂園工作人員告知,,其之前在阿里旅行網(wǎng)通過支付寶購買的迪士尼樂園電子門票已在幾天前被他人使用了,,不能入園。
經(jīng)過迪士尼樂園工作人員調(diào)查后發(fā)現(xiàn),,最近此類情況時有發(fā)生,,遂懷疑系統(tǒng)內(nèi)部相關(guān)票務(wù)信息被盜并被篡改后出售給他人。警方介入調(diào)查后,,根據(jù)網(wǎng)站登錄的IP地址順藤摸瓜,,最終在其單位將白某某抓獲,繼而抓獲多名出售偽造門票的下線黃牛賣家,。
犯罪嫌疑人白某某,,是一名90后大學(xué)畢業(yè)生。據(jù)白某某交代,,案發(fā)前在上海維音信息技術(shù)公司上班,,該公司是為迪士尼樂園票務(wù)服務(wù)提供后臺支持和管理工作的,通過后臺可以獲得相關(guān)記錄,。
利用系統(tǒng)漏洞獲電子門票
2016年6月,,白某某認(rèn)識了一個姓丁的女黃牛,丁某給了他一張迪士尼電子門票,,問能不能做出來,。因崗位職責(zé)熟知售票軟件運(yùn)營情況,他就想試著做一下,。當(dāng)天,,白某某利用票務(wù)系統(tǒng)漏洞成功獲得迪士尼電子門票,通過篡改日期變造了門票,,隨后萌發(fā)了利用這一方法牟利的念頭,。
白某某利用網(wǎng)絡(luò)、微信等信息平臺,,發(fā)布出售迪士尼門票的信息,,再根據(jù)下家需要的數(shù)量,去更改他人已預(yù)訂并已付款的迪士尼電子門票日期,,最后將更改后的電子門票訂單確認(rèn)號和門票二維碼通過電子郵件發(fā)送到下家郵箱,。
迪士尼門票在暑假期間的官方價格為499元,白某某以每張280元左右的低價出售給黃牛,,黃牛再加價出售給游客,。由于這些改造后的電子門票大多能順利通過安檢,很多通過網(wǎng)絡(luò)或現(xiàn)場黃牛購票的游客在不知情的情況下,,購買了所謂的打折票,、低價票,等到真正的門票主人來游玩時,,就會發(fā)現(xiàn)自己的門票已經(jīng)被使用而無法入園,。
導(dǎo)致迪士尼損失87萬元
據(jù)初步統(tǒng)計(jì),,從6月27日至7月20日短短一個月不到,犯罪嫌疑人白某某瘋狂作案,,盜取迪士尼樂園門票二維碼票號2600余張,,篡改日期后販賣給他人共計(jì)1700余張,累計(jì)獲贓款49萬余元,,造成上海迪士尼樂園損失87萬余元,。
浦東新區(qū)人民檢察院認(rèn)為,犯罪嫌疑人白某某以非法占有為目的,,采用秘密手段竊取公私財物,數(shù)額特別巨大,,其行為已觸犯《中華人民共和國刑法》第二百六十四條之規(guī)定,,涉嫌盜竊罪;而幫助其銷售變造迪士尼門票的幾名黃牛,,犯罪嫌疑人申某,、郭某明知是他人犯罪所得的贓物而予以收購,其行為已觸犯《中華人民共和國刑法》第三百一十二條之規(guī)定,,涉嫌掩飾,、隱瞞犯罪所得罪,依照《中華人民共和國刑事訴訟法》 相關(guān)規(guī)定,,已對上述三人批準(zhǔn)逮捕,。
專家稱破解無需解碼軟件
僅憑一個技術(shù)人員就能成功盜票數(shù)千張門票,這是個什么樣的漏洞,?對此,,華東師范大學(xué)電子科技副主任錢冬明介紹,常見的二維碼在形成前大多是代碼,、字符串或是鏈接地址,,白某某有職務(wù)之便,完全了解生成二維碼的內(nèi)容和過程,,無論是何種形式,,只要在原先的內(nèi)容加以修改,就能生成新的再利用的二維碼,,這些對于技術(shù)員來說沒有難度,,他們甚至無需用解碼軟件破解。
錢冬明認(rèn)為,,這純粹是企業(yè)管理漏洞,,與技術(shù)漏洞無關(guān)。因?yàn)楣芾砺┒磳?dǎo)致了技術(shù)員利用技術(shù)方法實(shí)現(xiàn)了盜票,,對企業(yè)造成了損失,。
而且,,白某某是在企業(yè)自身的售票系統(tǒng)里改日期,不是自己建造了一套系統(tǒng),。換言之,,是企業(yè)給了白某某這個平臺和權(quán)限。理論上講,,上海迪士尼某一天出票數(shù)量和當(dāng)天入園人數(shù)一比較,,就能看出端倪,但沒人發(fā)現(xiàn),。在其盜票后,,不僅票務(wù)平臺公司沒人知曉,連購票者也毫不知情,,這又是很大的漏洞,。
錢冬明還指出,上海迪士尼門票的二維碼不是實(shí)時,、動態(tài)的,,很容易被盜。通俗地說,,一出票就是一組固定圖案,,且與購買者毫無關(guān)聯(lián),的確不安全,。如果在改門票信息時需要手機(jī)號碼或是動態(tài)驗(yàn)證碼等內(nèi)容,,就比較靠譜,也更安全,。
游客損失均由園方承擔(dān)
昨天,,記者從浦東新區(qū)人民檢察院獲悉,近日就案件暴露出的票務(wù)系統(tǒng)管理漏洞,,檢方已以建議形式通告了迪士尼運(yùn)營方,。對此,上海迪士尼樂園方面表示,,此案件涉及第三方供應(yīng)商,,并非上海迪士尼度假區(qū)演職人員。為保障游客的個人權(quán)益,,游客應(yīng)通過度假區(qū)官方或官方授權(quán)渠道購買門票,。
園方還表示,之前發(fā)生的游客損失均由園方承擔(dān),,他們已經(jīng)及時更新了電子門票修改的登錄頁面和所需密碼形式,,杜絕了此類現(xiàn)象的發(fā)生。
[游客質(zhì)疑]
名為實(shí)名購票
進(jìn)園卻不核實(shí)
7月去過上海迪士尼的游客蔣小姐介紹,,她和朋友就有這樣的遭遇,。通過某網(wǎng)站買了票,,可當(dāng)天到樂園大門口竟然發(fā)現(xiàn)不能使用。
蔣小姐和朋友質(zhì)疑,,實(shí)名制的票怎會不能用,?根據(jù)迪士尼官網(wǎng)上的相關(guān)規(guī)定,購票時,,購買人需提供相關(guān)身份證信息,,一張身份證最多只能購買5張,入園時,,需要攜帶購票憑證和購票時登記的有效身份證件原件,。
蔣小姐說:“舉個例子。用我的身份證為一家三口買了票,,入園時我一定要在場,,用身份證驗(yàn)票后才能帶領(lǐng)其他兩位家庭成員入園。這看著很嚴(yán)格的購票流程,,怎么會出現(xiàn)上述情況?”
直到她們進(jìn)了迪士尼,,疑惑才解開,。
“入園時的管理并沒有那么嚴(yán)格。檢票口的工作人員根本不核實(shí)身份信息,,連核對照片的步驟也省去了,。只要二維碼能刷,就能進(jìn)去,?!笔Y小姐說,如此看來,,白某利用了一些漏洞,,偷了別人已買卻還沒使用的票出售,其實(shí)迪士尼在執(zhí)行相關(guān)規(guī)定上也有不足,。
關(guān)于中華網(wǎng) |
廣告服務(wù) |
聯(lián)系我們 |
招聘信息 |
版權(quán)聲明 |
豁免條款 |
友情鏈接 |
中華網(wǎng)動態(tài)
