专家称破解无需解码软件
仅凭一个技术人员就能成功盗票数千张门票,这是个什么样的漏洞?对此,华东师范大学电子科技副主任钱冬明介绍,常见的二维码在形成前大多是代码、字符串或是链接地址,白某某有职务之便,完全了解生成二维码的内容和过程,无论是何种形式,只要在原先的内容加以修改,就能生成新的再利用的二维码,这些对于技术员来说没有难度,他们甚至无需用解码软件破解。
钱冬明认为,这纯粹是企业管理漏洞,与技术漏洞无关。因为管理漏洞导致了技术员利用技术方法实现了盗票,对企业造成了损失。
而且,白某某是在企业自身的售票系统里改日期,不是自己建造了一套系统。换言之,是企业给了白某某这个平台和权限。理论上讲,上海迪士尼某一天出票数量和当天入园人数一比较,就能看出端倪,但没人发现。在其盗票后,不仅票务平台公司没人知晓,连购票者也毫不知情,这又是很大的漏洞。
钱冬明还指出,上海迪士尼门票的二维码不是实时、动态的,很容易被盗。通俗地说,一出票就是一组固定图案,且与购买者毫无关联,的确不安全。如果在改门票信息时需要手机号码或是动态验证码等内容,就比较靠谱,也更安全。
游客损失均由园方承担
昨天,记者从浦东新区人民检察院获悉,近日就案件暴露出的票务系统管理漏洞,检方已以建议形式通告了迪士尼运营方。对此,上海迪士尼乐园方面表示,此案件涉及第三方供应商,并非上海迪士尼度假区演职人员。为保障游客的个人权益,游客应通过度假区官方或官方授权渠道购买门票。
园方还表示,之前发生的游客损失均由园方承担,他们已经及时更新了电子门票修改的登录页面和所需密码形式,杜绝了此类现象的发生。
[游客质疑]
名为实名购票
进园却不核实
7月去过上海迪士尼的游客蒋小姐介绍,她和朋友就有这样的遭遇。通过某网站买了票,可当天到乐园大门口竟然发现不能使用。
蒋小姐和朋友质疑,实名制的票怎会不能用?根据迪士尼官网上的相关规定,购票时,购买人需提供相关身份证信息,一张身份证最多只能购买5张,入园时,需要携带购票凭证和购票时登记的有效身份证件原件。
蒋小姐说:“举个例子。用我的身份证为一家三口买了票,入园时我一定要在场,用身份证验票后才能带领其他两位家庭成员入园。这看着很严格的购票流程,怎么会出现上述情况?”
直到她们进了迪士尼,疑惑才解开。
“入园时的管理并没有那么严格。检票口的工作人员根本不核实身份信息,连核对照片的步骤也省去了。只要二维码能刷,就能进去。”蒋小姐说,如此看来,白某利用了一些漏洞,偷了别人已买却还没使用的票出售,其实迪士尼在执行相关规定上也有不足。
