作者aiweisen (艾維森)
看板Gossiping
標題Re: [新聞] 中客藝品店 霸吞8萬張台鐵花蓮票
時間Wed Feb 3 16:19:19 2016
借題討論一下
以前的訂票系統沒有加入驗證碼
用程式去刷車票很方便
現在有加入驗證碼 仍可以用程式去刷車票
那麼有兩個問題
1.是台鐵的驗證碼圖片做的太簡單 影像分析的準確率不會太低
2.還是影像分析的方式是用暴力破解的 一直分析到出現簡單的驗證碼圖片
有人有想到 如果不放棄開放網路訂票 程式掃票這一方面怎麼防比較好嗎?
我是想到這樣
1.驗證碼圖片有兩張 但驗證碼圖片內容中都是多位數數字
要把多位數的數字相加正確才行
2.驗證碼錯誤超過一定次數 禁止該ip(應該要綁mac addr)在特定時間內再發出訂票要求
3.同一組ip來自超過幾組身分證的訂票 就應該拒絕連線
4.訂票成功後 在特定時間內不能再次訂票
5.訂票後持身分證領票 (其實用這一點就打死了 但現在為何不這麼做?)
還有什麼方法嗎?
※ 引述《chikuo (想知道?去問香蕉...)》之銘言:
: 1.媒體來源:
: 自由時報
: 2.完整新聞標題:
: 中客藝品店 霸吞8萬張台鐵花蓮票
: 3.完整新聞內文:
: 2016-02-03
: 使用假身分 上網狂掃票
: 〔記者王錦義、黃明堂、黃立翔/綜合報導〕台鐵北迴線車票一票難求,民眾上車後卻發
: 現空位很多,鐵路警察局追查發現,花蓮新城鄉北埔村的花東玉石博物館,利用旗下員工
: 、家屬及虛擬身分證三百五十組,透過掃票程式上網大量訂票,一年來訂走近八萬張車票
: ,供應中國旅遊團使用,警方昨把陳姓經理等六名員工依偽造文書、鐵路法及妨害電腦使
: 用罪嫌送辦。
: 警方調查,花東玉石博物館登記的負責人吳秀英是前台東縣長吳俊立的二姊,吳俊立本人
: 也有入股。該館運用旗下花蓮、台東縣關係企業員工、親朋好友及虛擬身分證字號合計三
: 百五十組,其中虛擬字號就有六十四組,再使用電腦掃票程式,一年來已經成功搶票七萬
: 八千多張,專供中國團客使用,希望換取旅行團把該館排入行程,吸引中客登門消費。
: 警方查獲的車票都是從花蓮新城到宜蘭蘇澳新站間的莒光、復興對號車票,還有大量的電
: 聯區間車票,以及未搭乘的逾期車票。鐵路警察局刑警大隊副大隊長鄭家昇說,從電腦紀
: 錄中也發現大量的新城─蘇澳新區間春節訂票,不但切斷了花東地區人民回家的路,更違
: 背公平正義原則,嚴重干擾社會秩序。
: 警查3個月 法辦6員工
: 鐵路警察局刑警大隊、花蓮分局與刑事警察局第九大隊第三隊配合,在花蓮地檢署檢察官
: 指揮偵辦下,經三個多月調查、蒐證,昨兵分三路搜索藝品店業者,共查扣電腦三部,還
: 未使用車票二四三張,全案依偽造文書、鐵路法等罪嫌移送花蓮、台東地檢署偵辦。
: 警方說,花蓮地區有民眾透過非法訂票程式搶票的情況不時發生,去年就查獲花東地區八
: 大藝品公司都涉案,從前年到去年五月,就訂走了一百八十九萬多張團體車票,卻因交通
: 部迄今尚未對業者依違反鐵路法裁罰七千萬元,導致業者有恃無恐,繼續非法搶票。台鐵
: 雖曾試圖以減少團體票張數、階梯式退票機制,提高退票手續費來抑制,但成效仍有限。
: 交通部路政司副司長王穆衡則說,負責開罰的交通部監理小組是個臨時編組,人力與經費
: 都不足,以至於速度過慢,已要求加緊作業。台鐵營業科長陳裕謀針對訂票弊病則說,台
: 鐵訂票系統雖用身分證字號訂票,但是系統速度未與戶政連線,漏洞不少,往生者或合乎
: 身分證號排列邏輯但不存在的證號,都還能訂到票,大宗團體訂票需親自領票,可在領票
: 時再做過濾,但個人小額訂票則確實不易查察,還待改進。
: 玉石館 吳俊立二姊開的
: 花東玉石博物館昨天拉下鐵門,低調不做回應,吳秀英的電話也無回應。據警方了解,吳
: 秀英是前台東縣長吳俊立的二姊,專做中國團,跟花蓮在地的聯結較少。
: 吳俊立表示,這間公司是多人合股,他並不插手業務層面,也無法代替公司說明。據他所
: 知,公司雖是用員工身分證訂購火車票,但都是用「合法程式」來訂票,數量也不像外傳
: 的那麼多,傳言根本是「膨風」,但也有可能被駭客盜用網站來訂票。
: 4.完整新聞連結 (或短網址):
: http://news.ltn.com.tw/news/focus/paper/955637
: 5.備註:
: 不意外, 台灣真的罰小市民罰很快, 罰其他的就 ....
: 鬼島 快逃阿
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.138.150.27
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1454487562.A.BC5.html
噓 ivorysoap: 你聽過YOYODIY嗎? 02/03 16:20
→ waiting0801: 第五點,會先抗議的是旅行社,一般人還好 02/03 16:20
對齁 旅行社會抗議
但這一點如果改成觀光旅遊業若需要大量車票 事前台鐵提出申請並提出相關附件不就好?
→ webster1112: 8萬張 沒內鬼 你信?? 02/03 16:22
推 fourkg: YOYODIY有繞過前台的技能 你不知道嗎 02/03 16:23
→ bndan: 驗證碼別用英數 用該國文字就會變超難了=_= 02/03 16:24
幹 這一點我怎沒想到? 但是如果遇到那個字不會打 又或者
電腦/手機的語言系統很爛沒那個字 那不就GG了?
所以若用中文字當驗證碼 那是不是字庫要選擇常見字?
→ Szss: 這沒很難啦 訂票IP追蹤很快抓到偷票老鼠了 02/03 16:26
推 roc074: 學中國啊,用圖片,超機車的圖片 02/03 16:27
讓我想到前幾周 帝霸出征的FB被檢舉 然後要求選擇配對朋友
發現每位朋友都用相同的圖片包 結果就GG了
→ Szss: IP清單很快就知道那些是老鼠了 不查而已 02/03 16:27
再專業一點應該會用vpn吧? 如果可以 直接看mac address應該更快
(不太清楚換ip後 送出去的mac會不會變 應該不會變吧?)
推 Ryoutsu: 要不要做而已,旅行社之類的開特許用戶設額度就解決 02/03 16:29
不做的話肯定是有人再餵台鐵裡面的肥貓?
※ 編輯: aiweisen (140.138.150.27), 02/03/2016 16:31:39
→ CATCHCSH: mac address只能用在lan啦,internet沒用啦 02/03 16:35
推 maikxz: 建議改作積分 02/03 16:36
推 Szss: 如果是VPN就擋掉啊 02/03 16:39
→ Szss: 有些事情是台鐵要跟警局互相配合 不做就是擺爛而已 02/03 16:39
推 zxhzshsrm: 驗證碼應該用二元一次方程式求解 02/03 16:41
推 yoyodiy: 擋mac 沒用吧 大部分人還是用windows系統訂票呀 02/03 16:45
→ chris610020: 驗證碼在難都沒用,對岸有真人打碼的網站 02/03 16:47
→ chris610020: GOOGLE 驗證碼 賺錢 就有一堆了,缺點是要收費 02/03 16:49
→ pingyi: mac address指的是網卡位址啦..不是Apple的MAC ...= =" 02/03 16:58
推 zxhzshsrm: yoyo大師的反串啦XD 02/03 17:39
推 OpenGoodHate: mac addr 過L 3之後就會換掉囉 02/03 18:06
→ blackstyles: 擋MAC那明天就會有新聞, 訂票系統被駭。 02/03 19:00
推 blackstyles: 擋IP也有很多問題, 手機網路都是大內網, 或住宿, 擋 02/03 19:02
→ blackstyles: 了一個殺死百個 02/03 19:02