曾发现Facebook付款漏洞并删除祖克伯脸书,被封为「骇客天才」的张启元,2018年底入侵台湾高铁「T-Express行动购票」系统,以40元订购「南港至台北」车票旋即办理退票,窜改退款金额为20万元企图诈领,遭高铁察觉有异提告,张虽称是要进行维安漏洞测试,但桃园地院法官认为他未获授权,且已有统联诈领前例,仍依违法制作财产权纪录取得财产未遂罪判处他6月徒刑。

张启元2018年12月7日下午在台中住家,透过手机APP台湾高铁「T-Express行动购票」系统订购40元车票,再用笔电拦截讯息封包,将参数删除窜改成20万等不同数字,干扰高铁主机,成功让退款20万元的数据通过检核,所幸退款前高铁检核系统发现金额异常,报警提告。

张启元坦言未获高铁同意或授权,辩称并非要诈取财物,只是希望台湾的资安更进步,若要恶意攻击,就不会使用真实姓名,若收到20万退款会退还。辩护人也称张长期以来即为LINE、脸书、苹果等国际型企业,主动进行系统漏洞侦测,即「白帽者」义举,为了网路资讯安全而不断默默付出努力,并获得各家企业公开表扬讚誉,且是用真名,并非基于不法所有意图,且自始至终未获任何不法利益。

但桃园地院法官认为,张启元的作为歷经多方尝试,符合「不正方法」及输入「不正指令」,且根据张提出的「白帽骇客」新闻相关报导,多次强调攻击行动都是经过授权,不可以任意为之,张更曾3次利用统联售票系统漏洞将票面金额更改为1元,还曾成功搭上车,遭台中地院判拘役60日,认为他「会退款」是空言,不断窜改测试方式已危害资安安全,依非法以电脑制作不实财产权得丧变更纪录得利未遂罪判6个月,且不予谕知易科罚金,但仍有易服社会劳动的可能。

(中时 )

#高铁 #退款 #系统 #漏洞 #地院