天才駭客張啟元鑽高鐵漏洞…40元買票20萬退票

2019/01/11 21:36 字級:

駭客張啟元,自學程式語言,在19歲的時候發現臉書漏洞,大膽刪除祖克伯PO文,因而聲名大噪。去年12月他找到高鐵購票系統有漏洞,成功以40元訂票,再竄改退票金額為20萬元,高鐵在當天發現異常,中止退款,也主動告發。對此張啟元在臉書發文,強調自己是「白帽駭客」,只是想主動回報漏洞,如果真的要做壞事,就不會用本名來訂票,另外也抱怨,扣除手續費他退票的20元,高鐵到現在還沒退給他。

 

最新藝人八卦動態快追蹤【東森娛樂IG】

 

▼(圖/東森新聞)

 

駭客張啟元:「然後這些參數我也是,不知道他是幹嘛的,我會去比對我點的內容。」

 

天才駭客張啟元,親自示範,如何破解漏洞。

 

調查幹員:「現在已經退了嘛對不對,(駭客張啟元:還沒還沒)所以那時候就是把這改成負20萬對不對(駭客張啟元:嗯。)」

 

一台手機一台筆電分頭操作,成功用40元買高鐵票,再把退票金額改成20萬元,手法就是先用高鐵購票app,買1張台北到南港的車票40元,再利用另外一台筆電做為伺服器修改參數,把退票金額變成20萬元,高鐵當天晚間發現金額有誤,中止退款,也主動告發。

 

▼(圖/東森新聞)

 

法務部市調處港湖組組長蔡耀毅:「他大概是主張說,他是一個白帽駭客,目的只是要找網路的漏洞,但是他對於他之前做的案子,統聯的案子,沒有事先跟人家講,以及這一次做法,他都知道說這樣子是不對的。」

 

張啟元對高鐵出手找漏洞,原本嘗試用0元或1元買票失敗,後來把退票金額改成-20萬元,再改成20萬元。不過張啟元強調,檢警搜索後,檢察官依涉犯妨害電腦使用、詐欺等罪嫌,諭令10萬元交保。

 

法務部市調處港湖組組長蔡耀毅:「他也確實從其他的方式(漏洞),得到很多獎金,但是只要透過這種方式,確實是不法行為。」

 

▼(圖/東森新聞)

 

 

不過張啟元說,自己到現在還沒收到退票的20元,也在臉書強調自己是白帽駭客,並不是想賺錢,發文說如果我要做壞事,根本不用填寫真實資料,還用中華電信的固定IP。

 

我又不是怪盜基德,要偷東西還故意留紙條留真名,也感謝有人願意幫忙辯護,希望白帽的精神跟力量,能讓更多人接受,高鐵對此回應系統嚴密,不影響其他乘客購票權益,呼籲不要以身試法,將追訴民刑事責任。

 

(封面圖/東森新聞)

 



往下看更多新聞

張啟元在2003年發現臉書漏洞,屢次反應問題卻沒結果,最後直接刪除創辦人馬克祖克柏(Mark Zuckerberg)的貼文,因而被封為「台灣駭客天才」。他日前聲稱破解Apple pay,僅花1元就訂購502台iPhone,總金額超過1565萬元新台幣,引發軒然大波。事隔一天,他今(20)日在臉書發文,淡定表示「我這個真的是小事啊」,驚爆3年前他還利用付款漏洞,輕易賺到數十萬元!

★最新最熱門影片你還沒看過?
★【EBC東森新聞有IG了,一起追蹤吧】

▼張啟元日前破解Apple pay,以1元成功買下502台iPhone。(圖/翻攝自張啟元臉書)


張啟元日前透露,利用Apple pay漏洞購買了500台iPhone 8 Plus、2台iPhone XS MAX,總金額1565萬5800元,他只花1元就付款成功,但許多人不相信,甚至有專家打臉,認為他是竄改網頁資料原始碼來騙過交易平台的技術,但是不等於交易成功,「這麼low的手法,專業駭客根本不會用!」對此,張啟元也回嗆,「很簡單怎麼只有我發現,我不說都沒人發現?我這些東西都沒人教,自己摸的,你要不要教我?」、「這些專家達人說很簡單卻沒發現或回報,又說利潤之類的事情,一定是知情不報,偷偷牟利,現在被揭露出來沒辦法賺了,當然先靠北一番啦」。

▼張啟元被專家酸,本人回嗆了。(圖/翻攝自張啟元臉書)


事情發酵一天後,張啟元20日於臉書發文,「我這個真的是小事啊,還有更多比這重要的事情能上頭版」,他指出2015~2016年間,找到特斯拉(Tesla)付款漏洞,成功用1元訂了要價400多萬的汽車,收到約4萬獎金;後來還發現LINE XSS和付款漏洞,拿到約25萬獎金,以及Github付款漏洞,拿到約2萬獎金,加上Instagram開發者權限漏洞,約3萬台幣,金額總共34萬元。另外,他也發現iOS的0day漏洞,影響範圍是包含iOS 12以下版本,他能在不越獄的情況下,拿出Apple pay的資料,像是卡號、金鑰、個人隱私等資料,「如果審核通過,差不多有10萬美金的獎金,約台幣300萬元」。另外,他也發現臉書直播送星星的付款漏洞,「目前已修正,正在等公告獎金」。

▼張啟元發現6大漏洞,成功賺得獎金。(圖/翻攝自張啟元臉書)


雖然張啟元多次被跨國公司頒發資安獎勵,在台灣卻反之,他在2015年發現統聯購票系統漏洞,以1元成功買到車票,並從台中搭到台北,親自向統聯告知系統漏洞,但統聯隨即向警方備案以詐欺得利罪提告,最後,他被台中地方法院判罰60天拘役(可易科罰金6萬元),國內國外待遇差超多。

▼張啟元臉書原文。(圖/翻攝自張啟元臉書)


往下看更多新聞:1元買502台iPhone被酸爆!台灣駭客天才開砲了

被封為「台灣駭客天才」的張啟元2003年無意發現因臉書漏洞,屢次反應問題卻沒有結果,便直接刪了創辦人馬克祖克柏(Mark Zuckerberg)的貼文,18日則破解了Apple pay,聲稱訂購了502台iPhone,總金額超過1565萬元新台幣,但他只用1元就付款成功,還貼出訂單證明,不過也引發不少抨擊,對此,他親上火線開砲了!

▼張啟元自稱破解Apple pay,花1元購買502台iPhone。(圖/翻攝自張啟元臉書)


張啟元18日凌晨在臉書發文,他PO出多張截圖透露,利用Apple pay在Apple商店購買了500台iPhone 8 Plus、2台iPhone XS MAX,總金額是1565萬5800元,不過他僅用1元付款就成功結帳,引發熱烈討論。不過許多網友卻不以為意,紛紛留言,「我覺得他只是第一次在Apple Store買東西收到認證而已,就誤以為自己成功了」、「台灣駭客界都因為他蒙羞了」。

▼張啟元被網友酸爆。(圖/翻攝自張啟元臉書)


事後,他在臉書回應,寫道:「有滿多人認為1元是信用卡預扣的功能,說這就算刷了也不會出貨,那SE那次怎麼解釋?他還是出貨了」,他解釋這次沒出貨是因為已經取消了,「這麼多台寄過來根本不是簡單的退貨能解決的」,並強調:「程式上的bug是bug,流程上的bug也是bug,但我沒稱這個bug叫安全性漏洞」,他還自嘲以後要改7元,「這樣才不會被當作預扣,因為沒有預扣7元這種金額」。據悉,張啟元在2016年8月30日購買的iPhone SE就是類似問題,但他真的出貨了,不過僅拍了照片就退回去了,他也表示,「這次訂單我不會讓他們出貨,已經取消了」。

▼張啟元回應。(圖/翻攝自張啟元臉書)


對此,專家打臉他的說法,根據《ETtoday新聞雲》報導,一名曾代表台警參加國內、美國歐都舉辦的駭客年會,曾發表技術論文,在資安界相當有名的專家指出,張啟元是利用竄改網頁原始碼來騙過交易平台的技術,但是不等於交易成功,「竄改網頁資料就算交易成功,業者很容易就會發現。專業駭客根本不會這樣做,不會成功又很容易被抓,毫無技術成份」、「這麼low的手法,專業駭客根本不會用!」

這名資安專家透露,張啟元以往都是利用這類手法,擷取交易成功截圖PO上網製造話題,藉此抬高自己名氣,「他的行為很另類,根本不是專業駭客的行事風格」,並解釋業界內的專業駭客都相當低調,不會做點小事就上網炫耀。

▼張啟元回嗆專家和達人。(圖/翻攝自張啟元臉書)


而張啟元稍早再度發文,寫道:「我從沒稱過自己是專家跟達人欸,但網路上專家跟達人都滿街跑,一出現就是說這個又沒甚麼,這技術很簡單啊,這個一教大家都會,這個手法根本沒利潤」,他反問:「很簡單怎麼只有我發現,我不說都沒人發現?我這些東西都沒人教,自己摸的,你要不要教我?」他強調找漏洞不是為了從中牟利,「有漏洞獎金的我才拿」。他反嗆:「這些專家達人說很簡單卻沒發現或回報,又說利潤之類的事情,一定是知情不報,偷偷牟利,現在被揭露出來沒辦法賺了,當然先靠北一番啦」。

【今日最熱門】
● 留言就匯20萬!8萬人興奮朝聖 天才駭客發錢原因曝光
● 知名女星遭導演潛規則!「前後前後」激戰影片曝光
● 密恐慎入!蟒蛇遭511隻壁蝨狠咬 痛到跳水「想同歸於盡」
留言 目前無推薦商品
推薦閱讀
留言
目前無推薦商品
留言 目前無推薦商品