游客稱,檢票口的工作人員根本不核實身份信息,,連核對照片的步驟也省去了,。只要二維碼能刷,,就能進去?!?晨報記者 殷立勤
晨報記者 黃慧清 李東華
見習記者 謝 竲 吳藝璇
備受關注的游客持票入迪士尼卻發(fā)現(xiàn)門票已被使用的“懸案”終于告破:在一個月不到的時間內(nèi),,為樂園票務服務提供后臺支持和管理工作的某科技公司員工,利用系統(tǒng)漏洞,,通過篡改日期變造門票2600余張,獲贓款49萬余元,。
近日,,浦東新區(qū)人民檢察院以涉嫌盜竊罪、掩飾,、隱瞞犯罪所得罪,,對相關涉案人員批準逮捕,。
對此,上海迪士尼樂園方面回應稱,,此案件涉及第三方供應商,,并非上海迪士尼度假區(qū)演職人員,。游客應通過度假區(qū)官方或官方授權渠道購買門票,。
嫌犯為票務提供后臺支持
2016年7月14日上午,小方帶著朋友來到上海迪士尼樂園,,準備入園時被樂園工作人員告知,,其之前在阿里旅行網(wǎng)通過支付寶購買的迪士尼樂園電子門票已在幾天前被他人使用了,不能入園,。
經(jīng)過迪士尼樂園工作人員調查后發(fā)現(xiàn),,最近此類情況時有發(fā)生,,遂懷疑系統(tǒng)內(nèi)部相關票務信息被盜并被篡改后出售給他人。警方介入調查后,,根據(jù)網(wǎng)站登錄的IP地址順藤摸瓜,,最終在其單位將白某某抓獲,繼而抓獲多名出售偽造門票的下線黃牛賣家,。
犯罪嫌疑人白某某,是一名90后大學畢業(yè)生,。據(jù)白某某交代,,案發(fā)前在上海維音信息技術公司上班,,該公司是為迪士尼樂園票務服務提供后臺支持和管理工作的,,通過后臺可以獲得相關記錄。
利用系統(tǒng)漏洞獲電子門票
2016年6月,,白某某認識了一個姓丁的女黃牛,丁某給了他一張迪士尼電子門票,,問能不能做出來,。因崗位職責熟知售票軟件運營情況,他就想試著做一下,。當天,白某某利用票務系統(tǒng)漏洞成功獲得迪士尼電子門票,,通過篡改日期變造了門票,,隨后萌發(fā)了利用這一方法牟利的念頭。
白某某利用網(wǎng)絡,、微信等信息平臺,,發(fā)布出售迪士尼門票的信息,,再根據(jù)下家需要的數(shù)量,去更改他人已預訂并已付款的迪士尼電子門票日期,,最后將更改后的電子門票訂單確認號和門票二維碼通過電子郵件發(fā)送到下家郵箱。
迪士尼門票在暑假期間的官方價格為499元,,白某某以每張280元左右的低價出售給黃牛,,黃牛再加價出售給游客。由于這些改造后的電子門票大多能順利通過安檢,,很多通過網(wǎng)絡或現(xiàn)場黃牛購票的游客在不知情的情況下,,購買了所謂的打折票,、低價票,等到真正的門票主人來游玩時,,就會發(fā)現(xiàn)自己的門票已經(jīng)被使用而無法入園,。
導致迪士尼損失87萬元
據(jù)初步統(tǒng)計,從6月27日至7月20日短短一個月不到,,犯罪嫌疑人白某某瘋狂作案,盜取迪士尼樂園門票二維碼票號2600余張,,篡改日期后販賣給他人共計1700余張,,累計獲贓款49萬余元,造成上海迪士尼樂園損失87萬余元,。
浦東新區(qū)人民檢察院認為,,犯罪嫌疑人白某某以非法占有為目的,采用秘密手段竊取公私財物,,數(shù)額特別巨大,其行為已觸犯《中華人民共和國刑法》第二百六十四條之規(guī)定,,涉嫌盜竊罪,;而幫助其銷售變造迪士尼門票的幾名黃牛,犯罪嫌疑人申某,、郭某明知是他人犯罪所得的贓物而予以收購,其行為已觸犯《中華人民共和國刑法》第三百一十二條之規(guī)定,,涉嫌掩飾,、隱瞞犯罪所得罪,依照《中華人民共和國刑事訴訟法》 相關規(guī)定,,已對上述三人批準逮捕,。
專家稱破解無需解碼軟件
僅憑一個技術人員就能成功盜票數(shù)千張門票,這是個什么樣的漏洞,?對此,,華東師范大學電子科技副主任錢冬明介紹,常見的二維碼在形成前大多是代碼,、字符串或是鏈接地址,白某某有職務之便,,完全了解生成二維碼的內(nèi)容和過程,,無論是何種形式,,只要在原先的內(nèi)容加以修改,就能生成新的再利用的二維碼,,這些對于技術員來說沒有難度,,他們甚至無需用解碼軟件破解。
錢冬明認為,,這純粹是企業(yè)管理漏洞,與技術漏洞無關,。因為管理漏洞導致了技術員利用技術方法實現(xiàn)了盜票,,對企業(yè)造成了損失,。
而且,白某某是在企業(yè)自身的售票系統(tǒng)里改日期,,不是自己建造了一套系統(tǒng),。換言之,,是企業(yè)給了白某某這個平臺和權限。理論上講,,上海迪士尼某一天出票數(shù)量和當天入園人數(shù)一比較,,就能看出端倪,但沒人發(fā)現(xiàn),。在其盜票后,,不僅票務平臺公司沒人知曉,連購票者也毫不知情,,這又是很大的漏洞。
錢冬明還指出,,上海迪士尼門票的二維碼不是實時,、動態(tài)的,,很容易被盜。通俗地說,,一出票就是一組固定圖案,,且與購買者毫無關聯(lián),,的確不安全。如果在改門票信息時需要手機號碼或是動態(tài)驗證碼等內(nèi)容,,就比較靠譜,,也更安全。
游客損失均由園方承擔
昨天,,記者從浦東新區(qū)人民檢察院獲悉,,近日就案件暴露出的票務系統(tǒng)管理漏洞,,檢方已以建議形式通告了迪士尼運營方。對此,,上海迪士尼樂園方面表示,此案件涉及第三方供應商,,并非上海迪士尼度假區(qū)演職人員,。為保障游客的個人權益,,游客應通過度假區(qū)官方或官方授權渠道購買門票。
園方還表示,,之前發(fā)生的游客損失均由園方承擔,,他們已經(jīng)及時更新了電子門票修改的登錄頁面和所需密碼形式,,杜絕了此類現(xiàn)象的發(fā)生。
[游客質疑]
名為實名購票
進園卻不核實
7月去過上海迪士尼的游客蔣小姐介紹,她和朋友就有這樣的遭遇,。通過某網(wǎng)站買了票,可當天到樂園大門口竟然發(fā)現(xiàn)不能使用,。
蔣小姐和朋友質疑,實名制的票怎會不能用,?根據(jù)迪士尼官網(wǎng)上的相關規(guī)定,,購票時,購買人需提供相關身份證信息,,一張身份證最多只能購買5張,,入園時,,需要攜帶購票憑證和購票時登記的有效身份證件原件。
蔣小姐說:“舉個例子,。用我的身份證為一家三口買了票,入園時我一定要在場,,用身份證驗票后才能帶領其他兩位家庭成員入園。這看著很嚴格的購票流程,,怎么會出現(xiàn)上述情況,?”
直到她們進了迪士尼,疑惑才解開,。
“入園時的管理并沒有那么嚴格。檢票口的工作人員根本不核實身份信息,,連核對照片的步驟也省去了,。只要二維碼能刷,就能進去?!笔Y小姐說,如此看來,,白某利用了一些漏洞,偷了別人已買卻還沒使用的票出售,,其實迪士尼在執(zhí)行相關規(guī)定上也有不足,。
關于中華網(wǎng) |
廣告服務 |
聯(lián)系我們 |
招聘信息 |
版權聲明 |
豁免條款 |
友情鏈接 |
中華網(wǎng)動態(tài)
