游客稱�����,檢票口的工作人員根本不核實(shí)身份信息�����,連核對(duì)照片的步驟也省去了���。只要二維碼能刷���,就能進(jìn)去?����!?晨報(bào)記者 殷立勤
晨報(bào)記者 黃慧清 李東華
見習(xí)記者 謝 竲 吳藝璇
備受關(guān)注的游客持票入迪士尼卻發(fā)現(xiàn)門票已被使用的“懸案”終于告破:在一個(gè)月不到的時(shí)間內(nèi)���,為樂園票務(wù)服務(wù)提供后臺(tái)支持和管理工作的某科技公司員工�����,利用系統(tǒng)漏洞�����,通過篡改日期變?cè)扉T票2600余張�����,獲贓款49萬余元����。
近日,浦東新區(qū)人民檢察院以涉嫌盜竊罪�����、掩飾���、隱瞞犯罪所得罪�����,對(duì)相關(guān)涉案人員批準(zhǔn)逮捕�����。
對(duì)此���,上海迪士尼樂園方面回應(yīng)稱����,此案件涉及第三方供應(yīng)商�����,并非上海迪士尼度假區(qū)演職人員���。游客應(yīng)通過度假區(qū)官方或官方授權(quán)渠道購買門票。
嫌犯為票務(wù)提供后臺(tái)支持
2016年7月14日上午���,小方帶著朋友來到上海迪士尼樂園���,準(zhǔn)備入園時(shí)被樂園工作人員告知,其之前在阿里旅行網(wǎng)通過支付寶購買的迪士尼樂園電子門票已在幾天前被他人使用了�����,不能入園���。
經(jīng)過迪士尼樂園工作人員調(diào)查后發(fā)現(xiàn)�����,最近此類情況時(shí)有發(fā)生�����,遂懷疑系統(tǒng)內(nèi)部相關(guān)票務(wù)信息被盜并被篡改后出售給他人���。警方介入調(diào)查后����,根據(jù)網(wǎng)站登錄的IP地址順藤摸瓜���,最終在其單位將白某某抓獲�����,繼而抓獲多名出售偽造門票的下線黃牛賣家����。
犯罪嫌疑人白某某�����,是一名90后大學(xué)畢業(yè)生。據(jù)白某某交代�����,案發(fā)前在上海維音信息技術(shù)公司上班���,該公司是為迪士尼樂園票務(wù)服務(wù)提供后臺(tái)支持和管理工作的,通過后臺(tái)可以獲得相關(guān)記錄���。
利用系統(tǒng)漏洞獲電子門票
2016年6月����,白某某認(rèn)識(shí)了一個(gè)姓丁的女黃牛���,丁某給了他一張迪士尼電子門票�����,問能不能做出來����。因崗位職責(zé)熟知售票軟件運(yùn)營情況,他就想試著做一下���。當(dāng)天���,白某某利用票務(wù)系統(tǒng)漏洞成功獲得迪士尼電子門票,通過篡改日期變?cè)炝碎T票���,隨后萌發(fā)了利用這一方法牟利的念頭�����。
白某某利用網(wǎng)絡(luò)���、微信等信息平臺(tái),發(fā)布出售迪士尼門票的信息����,再根據(jù)下家需要的數(shù)量,去更改他人已預(yù)訂并已付款的迪士尼電子門票日期����,最后將更改后的電子門票訂單確認(rèn)號(hào)和門票二維碼通過電子郵件發(fā)送到下家郵箱。
迪士尼門票在暑假期間的官方價(jià)格為499元�����,白某某以每張280元左右的低價(jià)出售給黃牛,黃牛再加價(jià)出售給游客�����。由于這些改造后的電子門票大多能順利通過安檢���,很多通過網(wǎng)絡(luò)或現(xiàn)場(chǎng)黃牛購票的游客在不知情的情況下���,購買了所謂的打折票、低價(jià)票���,等到真正的門票主人來游玩時(shí),就會(huì)發(fā)現(xiàn)自己的門票已經(jīng)被使用而無法入園���。
導(dǎo)致迪士尼損失87萬元
據(jù)初步統(tǒng)計(jì)����,從6月27日至7月20日短短一個(gè)月不到����,犯罪嫌疑人白某某瘋狂作案,盜取迪士尼樂園門票二維碼票號(hào)2600余張,篡改日期后販賣給他人共計(jì)1700余張����,累計(jì)獲贓款49萬余元,造成上海迪士尼樂園損失87萬余元�����。
浦東新區(qū)人民檢察院認(rèn)為���,犯罪嫌疑人白某某以非法占有為目的���,采用秘密手段竊取公私財(cái)物,數(shù)額特別巨大���,其行為已觸犯《中華人民共和國刑法》第二百六十四條之規(guī)定���,涉嫌盜竊罪;而幫助其銷售變?cè)斓鲜磕衢T票的幾名黃牛����,犯罪嫌疑人申某、郭某明知是他人犯罪所得的贓物而予以收購���,其行為已觸犯《中華人民共和國刑法》第三百一十二條之規(guī)定����,涉嫌掩飾、隱瞞犯罪所得罪����,依照《中華人民共和國刑事訴訟法》 相關(guān)規(guī)定,已對(duì)上述三人批準(zhǔn)逮捕�����。
專家稱破解無需解碼軟件
僅憑一個(gè)技術(shù)人員就能成功盜票數(shù)千張門票�����,這是個(gè)什么樣的漏洞���?對(duì)此,華東師范大學(xué)電子科技副主任錢冬明介紹�����,常見的二維碼在形成前大多是代碼�����、字符串或是鏈接地址,白某某有職務(wù)之便����,完全了解生成二維碼的內(nèi)容和過程,無論是何種形式�����,只要在原先的內(nèi)容加以修改����,就能生成新的再利用的二維碼,這些對(duì)于技術(shù)員來說沒有難度�����,他們甚至無需用解碼軟件破解�����。
錢冬明認(rèn)為����,這純粹是企業(yè)管理漏洞���,與技術(shù)漏洞無關(guān)。因?yàn)楣芾砺┒磳?dǎo)致了技術(shù)員利用技術(shù)方法實(shí)現(xiàn)了盜票�����,對(duì)企業(yè)造成了損失���。
而且�����,白某某是在企業(yè)自身的售票系統(tǒng)里改日期�����,不是自己建造了一套系統(tǒng)�����。換言之,是企業(yè)給了白某某這個(gè)平臺(tái)和權(quán)限���。理論上講����,上海迪士尼某一天出票數(shù)量和當(dāng)天入園人數(shù)一比較,就能看出端倪����,但沒人發(fā)現(xiàn)。在其盜票后���,不僅票務(wù)平臺(tái)公司沒人知曉�����,連購票者也毫不知情���,這又是很大的漏洞。
錢冬明還指出����,上海迪士尼門票的二維碼不是實(shí)時(shí)、動(dòng)態(tài)的�����,很容易被盜����。通俗地說���,一出票就是一組固定圖案,且與購買者毫無關(guān)聯(lián)�����,的確不安全����。如果在改門票信息時(shí)需要手機(jī)號(hào)碼或是動(dòng)態(tài)驗(yàn)證碼等內(nèi)容,就比較靠譜����,也更安全。
游客損失均由園方承擔(dān)
昨天����,記者從浦東新區(qū)人民檢察院獲悉,近日就案件暴露出的票務(wù)系統(tǒng)管理漏洞�����,檢方已以建議形式通告了迪士尼運(yùn)營方。對(duì)此�����,上海迪士尼樂園方面表示����,此案件涉及第三方供應(yīng)商����,并非上海迪士尼度假區(qū)演職人員。為保障游客的個(gè)人權(quán)益�����,游客應(yīng)通過度假區(qū)官方或官方授權(quán)渠道購買門票����。
園方還表示,之前發(fā)生的游客損失均由園方承擔(dān)����,他們已經(jīng)及時(shí)更新了電子門票修改的登錄頁面和所需密碼形式,杜絕了此類現(xiàn)象的發(fā)生���。
[游客質(zhì)疑]
名為實(shí)名購票
進(jìn)園卻不核實(shí)
7月去過上海迪士尼的游客蔣小姐介紹�����,她和朋友就有這樣的遭遇���。通過某網(wǎng)站買了票���,可當(dāng)天到樂園大門口竟然發(fā)現(xiàn)不能使用。
蔣小姐和朋友質(zhì)疑�����,實(shí)名制的票怎會(huì)不能用���?根據(jù)迪士尼官網(wǎng)上的相關(guān)規(guī)定���,購票時(shí),購買人需提供相關(guān)身份證信息�����,一張身份證最多只能購買5張�����,入園時(shí),需要攜帶購票憑證和購票時(shí)登記的有效身份證件原件����。
蔣小姐說:“舉個(gè)例子���。用我的身份證為一家三口買了票����,入園時(shí)我一定要在場(chǎng)�����,用身份證驗(yàn)票后才能帶領(lǐng)其他兩位家庭成員入園�����。這看著很嚴(yán)格的購票流程�����,怎么會(huì)出現(xiàn)上述情況����?”
直到她們進(jìn)了迪士尼���,疑惑才解開。
“入園時(shí)的管理并沒有那么嚴(yán)格�����。檢票口的工作人員根本不核實(shí)身份信息���,連核對(duì)照片的步驟也省去了�����。只要二維碼能刷���,就能進(jìn)去?��!笔Y小姐說�����,如此看來����,白某利用了一些漏洞,偷了別人已買卻還沒使用的票出售����,其實(shí)迪士尼在執(zhí)行相關(guān)規(guī)定上也有不足。
