獨家／北捷、台鐵遭詐財！ 因悠遊卡晶片「易解」＋「時間差」 2025-07-12 20:30 東森新聞 不到一個月的時間，北捷、台鐵都遇到用悠遊卡無本加值或偽造的退費事件。（圖／東森 新聞） 一名高中生改寫悠遊卡的編碼「無本儲值」，A走悠遊卡公司數十萬，現在台鐵公司也被 集團盯上。至少3人先利用悠遊卡儲值定期票，再疑似大量複製「偽卡」，重複到櫃台辦 理退票、換現金，直到有票務人員發現系統異常才趕緊報案。 清查下來，這3人所持有的悠遊卡都是同一組卡號，成功在台北、桃園站退款7次，詐騙金 額破萬。 不到一個月的時間，北捷、台鐵都遇到用悠遊卡無本加值或偽造的退費事件，進一步調查 發現，雖然不是同一人所為，手法也不一樣，但專家就說，悠遊卡第一代的晶片加密已經 多次被破解，安全機制不充足，加上北捷台鐵與悠遊卡間對帳需要時間差，都讓有心人士 鑽漏洞。 日前才有高中生把北捷當提款機，如今同樣事情又發生在台鐵。兩個案件共同關鍵點就在 這張卡上面，嫌犯竄改卡片上的金額記錄，想要無中生有賺大錢。初代的mifare晶片，資 安專家直言，網路上就有不少破解教學。 資安專家林秉忠：「悠遊卡剛好是用MIFARE Classic，也就是MIFARE第一代的晶片，其實 在大概2008年的時候就已經被破解，所以這個安全機制，的確是比較沒有那麼充足。」 而除了這項漏洞，把悠遊卡當載體的場所百百種，怎麼會挑台鐵跟北捷退費？則是因為目 前無論是北捷還是台鐵公司，無法立即得知卡片金流，需要等跟發卡公司，也就是悠遊卡 公司對帳後才會曉得，而這空窗期就給了駭客可乘之機。 資安專家林秉忠：「有很多悠遊卡在到處通行，最終還是要對帳，你有儲值、還是你有把 錢消費掉，最後這個帳戶都要回到悠遊卡公司來做查核，看台鐵多久跟悠遊卡公司做對帳 ，有很短的空間。」 這帳不是不算，只是時候未到。資安專家認為，在不更新晶片的狀態下，要升級這張卡的 安全性，有流通的場所也能有積極作為，像是密集或甚至及時跟悠遊卡對帳，或是退費過 的卡號特別註記等等，才不會讓類似偽造或無本加值事件層出不窮。 https://news.ebc.net.tw/News/Article/501267/ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.10.218.132 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Railway/M.1752331752.A.67B.html