字級:

駭客炫1元買iPhone 專家:不信他真有找到漏洞

(新增資深駭客、趨勢科技說法)駭客張啟元自稱只用1元便成功於蘋果官網下單502支iPhone,引發熱烈討論。資策會資安所副主任田謹維表示,漏洞成因大多發生在網站程式未做好結帳金額確認,但這筆訂單到金流驗證階段仍會被擋住,駭客可能看到系統進入出貨階段,誤以為交易成功。田謹維質疑,根據駭客提供的截圖,他先後用1元和10萬5800元測試刷卡;若是漏洞,沒道理第2次刷不成功。駭客僅說蘋果官網有錯誤,卻無法具體指出錯誤內容,一下說資安漏洞,一下又說流程漏洞,讓人難以信服他真的找到蘋果在金流上的問題。由於僅刷卡1元明顯與帳單總額不相符,田謹維表示,這筆訂單到金流驗證階段仍會被擋下,駭客可能看到系統進入出貨階段,誤以為交易成功。蘋果以前也曾發生官網在某種情況下會算錯錢、讓民眾可用很便宜價格買到Mac mini的狀況。田謹維認為,業者就網站與銀行處理金流過程,可找專業測試團隊協助金流檢驗,符合金流安全規範,也較能確保有完整模式。不具名資深駭客則直言,1元是確認信用卡合理授權,根本不是漏洞,出貨時才會扣那筆錢,張啟元雖然秀出訂單明細、刷卡1元的資料截圖,這都是正常程序,問題是「他並沒有買到iPhone」。對於張啟元放話下次要改刷7元,避免被質疑,該資深駭客說,「有種就真的刷7元,因為7元根本不可能成功」,如果真的有嚴重漏洞,資安圈絕對會討論,但這次完全懶得討論。趨勢科技資深技術顧問簡勝財表示,每個網站的交易機制不太一樣,或許張啟元有找到交易過程的弱點,有方法避開驗證而達到目的,但詳細作法還要以駭客自己公布的狀況為準,實際上張能否交易成功也無法確定,不過他沒有實際參與調查,不便作太多評論。燦坤表示,沒有遇過這類案例,每家電商交易防呆機制不同,燦坤對針對首次交易或一天內連續交易,內部系統會自動偵測並驗證,驗證完依據狀況排除或擋下交易。同時也會配合銀行3D驗證,例如輸入密碼。張啟元以1元購買502支哀鳳,這種連續交易太奇怪,一定會被抓到。張啟元曾於2016年同樣用1元成功購買iPhone SE,蘋果也照常出貨。燦坤表示,不清楚蘋果是怎麼判定該筆訂單,如果是業者本身標錯價格,燦坤一定會負責,但若是遭駭客入侵,會先偵測不當交易行為進行判別,不便回答是否照常出貨。燦坤認為,這次蘋果遭駭,絕不可能只是蘋果官網單方面漏洞,銀行交易系統可能也有問題。(林芳如/台北報導)出版時間:1922
更新時間:2245想知道更多,一定要看……
1元買502支哀鳳遭酸 駭客天才:下次改7元
蘋果被破解!「台灣駭客天才」1元買502台iPhone
蘋果遭張啟元破解 達人:再安全也有漏洞看了這則新聞的人,也看了……
iPhone後天開賣 3C通路搭百貨周年慶購機送禮券


資策會資安所副主任田謹維表示,漏洞成因大多發生在網站程式未做好結帳金額確認。翻攝蘋果官網

本新聞文字、照片、影片專供蘋果「升級壹會員」閱覽,版權所有,禁止任何媒體、社群網站、論壇,在紙本或網路部分引用、改寫、轉貼分享,違者必究。