[新聞] 民版鐵路訂票APP出包　發送假身分證字號

作者Desire5566 (滴塞ㄦ)

標題[新聞] 民版鐵路訂票APP出包　發送假身分證字號

時間Wed Sep 19 13:11:14 2018

民版鐵路訂票APP出包　發送假身分證字號　開發者遭移送台鐵局與鐵警局打擊不法訂票行為從未間斷，淨網專案小組於去年中秋節期間，曾發現多位民眾使用同一組虛擬身分證號（A100000001）訂票，這些民眾分散於北部及東部地區，彼此間毫無關聯卻產生相同的訂票資訊。案經鐵警局通知到案說明，民眾表示該時段確實有向台鐵局訂票，但絕無使用虛擬身分證號A100000001訂購車票之情形。隨後台鐵局、鐵警局及中華電信多方分析該異常訂票資訊產生之原因，發現IOS系統內有一民間版APP訂票程式「台鐵訂票機」涉有重嫌，經查民眾在使用該APP訂票時均會帶出 A100000001虛擬身分證號，產生異常訂票資訊。民間版APP程式「台鐵訂票機」下載量已高達80萬餘次，於106年1月至107年7月期間，共計產生約5萬筆，IP筆數3千餘組之異常訂票資訊，讓使用者間接蒙受不白之冤。本案民間版APP「台鐵訂票機」設計者將依違反商標法、刑法妨害電腦使用、偽造文書等罪嫌移送地檢署偵辦。台鐵局也在此呼籲民眾使用官方版「台鐵e訂通」APP，以維護消費者權益。台鐵局與鐵警局仍將持續進行「淨網專案」行動，防止各類犯罪狀況發生，以保障民眾使用大眾運輸系統之權益。所謂訂票資訊，即訂票人不論透過任何途徑向臺鐵局訂購車票之時，網頁所留下之訂票資訊會化成數字、代碼存在於台鐵局伺服器內，藉由資料的判讀，可以查出訂票人之IP、訂票時間及訂票內容。 ETtoday新聞雲 https://www.ettoday.net/news/20180919/1262140.htm -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.71.57.200 ※ 文章網址: https://webptt.cc/bbs/Railway/M.1537333877.A.0FD.html

推文 (85)

推 b734123000 還好下載來沒多久就刪掉了～ 09/19 13:15

推 parislove3 拉基App 09/19 13:55

推 evanzxcv 只能說寫app的人真的笨，身分證字號亂數產生是超級簡單 09/19 14:02

→ evanzxcv 的運算法，如果用亂數產生，重複的機率微乎其微，永遠都 09/19 14:02

→ evanzxcv 抓不到 09/19 14:02

推 tchialen 領票都不覺得有問題？ 09/19 14:49

推 ltytw 可見都沒自己去台鐵官網訂 09/19 15:55

→ ltytw ^民眾 ^的習慣 09/19 15:55

推 kuso10582 那怎麼領票的@@????????領票不是要輸入身分證嗎 09/19 16:03

→ Cascadia 不是有限制一組身分證號碼最多只能訂幾張票嗎? 09/19 16:22

→ mackywei 疑問同樓上.... 09/19 16:45

→ asdfghjklasd 怎看都是鹿菊想要打壓其它APP的做法 09/19 17:24

推 Metro123Star 但是不能用假的身分證字號啊 09/19 17:26

推 ChungLi5566 有帳務跟個資的app 上架前請先找法遵顧問 09/19 21:13

噓 nttra 自己app做那麼爛，行車事故也沒有即時通知，誰要用? 09/19 22:41

→ Debian 台灣民眾對於資訊安全的重視程度大概就是如此了。 09/20 00:20

推 kevin190 去自動售票機領票就不需看身分證件了 09/20 00:37

→ ecpoem 用戶看到訂票結果上身分證字號不對不會懷疑？ 09/20 01:07

→ ecpoem 而一個身分證字號一天可訂6張（來回一起訂則12張），這樣 09/20 01:08

→ ecpoem 訂票應該容易遇到訂票額滿，用戶看到這個也不會懷疑？ 09/20 01:09

推 earthuncuttv 開發app被抓去看守所洗屁股 09/20 01:24

推 evanzxcv 台灣身分證字號真的要砍掉重練，會洩漏個資就算了，檢查 09/20 10:01

→ evanzxcv 碼的運算法也太簡單。 09/20 10:01

推 nepho 不管算法多複雜，猜對的機率還是1/10啊... 09/20 10:10

推 e023340 幹我用這個訂了幾百張 09/20 11:19

→ DolphinT 其實A000000001是用來跳過第一頁先去拿到檢查碼，真實訂 09/20 11:23

→ DolphinT 位時還是用使用者的身份證號碼，目的是讓使用者可以在同 09/20 11:24

→ DolphinT 一頁面操作完訂票。其實這樣被當作偽造文書還蠻冤的～～ 09/20 11:26

→ DolphinT 同身為資訊工作人員，希望原作者能遇到明察秋毫的檢察官 09/20 11:29

推 evanzxcv 沒人規定檢查碼只能有一碼，可以用多碼檢查碼加上特殊演 09/20 11:46

→ evanzxcv 算法啊 09/20 11:46

→ evanzxcv 真正懂資安的團隊設計出的身分證字號，不會只有一碼檢查 09/20 11:48

→ evanzxcv 碼，而且會讓一般人看到它就只是一個單純的亂數無法看出 09/20 11:48

→ evanzxcv 任何個資的。當然如果你很厲害還是可能破解演算法然後偽 09/20 11:48

→ evanzxcv 造出可以通過驗證的號碼啦。 09/20 11:48

→ evanzxcv 尤其現在多元性別潮流下，越來越多人體認到性別也是需要 09/20 11:51

→ evanzxcv 被保護和具有隱私的個資了，直接寫在身分證字號上是很不 09/20 11:51

→ evanzxcv 尊重的。 09/20 11:51

→ evanzxcv 總之這絕對是需要砍掉重練的，雖然好像離題了XD 09/20 11:52

→ evanzxcv 如果真如D大講的那樣，那就是台鐵訂票系統本身的問題了 09/20 11:54

→ evanzxcv ，如果不檢查一開始輸入的身分證跟後面實際訂票的是否相 09/20 11:54

→ evanzxcv 符，那一開始幹嘛還要輸入身分證字號呢？而且台鐵網站竟 09/20 11:54

→ evanzxcv 然還會蒐集儲存這項資訊。這樣台鐵其實已經遊走在不當利 09/20 11:55

→ evanzxcv 用個資的法律邊緣了！ 09/20 11:55

推 evanzxcv 不過我想就算事後有調查清楚，大概也是台鐵的專案小組負 09/20 12:00

→ evanzxcv 責人被控非法利用個資，幾萬塊交保之後拍拍屁股就沒事了 09/20 12:00

→ evanzxcv ，台鐵局還是不會去修改訂票系統的瑕疵... 09/20 12:00

推 Wendyorange 此設計僅是便利使用者能在同一頁面輸入身份證字號及 09/20 13:03

推 Wendyorange 驗證碼，僅提供免費平台方便民眾訂票，也沒從車票中 09/20 13:05

→ Wendyorange 獲利，就被誤解扣上這些罪名，實在無言。 09/20 13:06

推 Wendyorange A100000001僅為民眾先取得驗證碼，不會有實際訂票行 09/20 13:09

→ Wendyorange 為，使用者仍必須輸入自己真實身份證及正確驗證碼才 09/20 13:10

推 Wendyorange 能完成訂票，此新聞稿不探究事理未免聳動 09/20 13:11

→ Wendyorange 且此款app比官方app好用太多～ 09/20 13:12

→ DolphinT To evanzxcv: 臺鐵官網本身的設計瑕疵，他在第二頁只能 09/20 13:21

→ DolphinT 讓使用者輸入驗證碼，送出後是將第一頁得到的資料再送出 09/20 13:22

→ DolphinT 最後訂票還是以第二次包含驗證碼的身份證字號當作最後的 09/20 13:23

→ DolphinT 訂位資訊。程式設計者是在不違反最後訂票原則下，技巧性 09/20 13:25

→ DolphinT 將兩步驟合成一步驟，我覺得這跟用假身份證訂票是不同的 09/20 13:27

推 Wendyorange 此app是民國100年IOS系統上第一個免費上架的訂票app 09/20 14:26

推 Wendyorange 當時台鐵也尚未推出官方app，僅用車頭當作圖示 09/20 14:28

→ Wendyorange 也未使用台鐵官方藍色圓形圖示 09/20 14:30

推 Wendyorange 取名台鐵訂票機也只是表示app的用途 09/20 14:31

推 Wendyorange 況且售出的車票也是你台鐵在賺 09/20 14:34

→ Wendyorange 還牽扯到商標法真是令人不解 09/20 14:35

推 evanzxcv 所以我覺得程式開發者沒問題，倒是台鐵調查小組有沒有踩 09/20 15:16

→ evanzxcv 到個資法底線就要看法官怎麼說了 09/20 15:17

推 Wendyorange 希望檢察官能盡快釐清真相，還給普通老百姓公道～ 09/20 15:26

推 mackywei 這個發展還真意外... 09/20 16:30

→ asdfghjklasd 明明訂票還是用使用者身分證.發這新聞是.. 09/20 16:34

噓 IanLi 藉口一大堆，不要打兩次可以程式設計處裡而不是用假資料 09/20 19:38

→ IanLi 。 09/20 19:38

推 LoveFood 最好沒獲利，他有放google廣告阿 09/21 03:34

推 sammylee 台鐵官APP難用到爆到底是什麼年代設計的產物 09/21 07:27

→ sammylee 連要輸車次訂票都沒辦法 09/21 07:28

推 Wendyorange 並沒從台鐵販售出的車票中獲利 09/21 07:29

推 Wendyorange 廣告費是使用者個人意志去點擊 09/21 07:32

推 Wendyorange 訂票多寡也與設計者無關，反而還替台鐵多一個賺錢管 09/21 07:43

→ Wendyorange 道 09/21 07:44

→ ChungLi5566 應該就緩起訴吧畢竟偽造文書是事實 09/21 08:32

→ ChungLi5566 另外基於安控的個資使用是可以允許的 09/21 08:33

→ ChungLi5566 歐盟GDPR也是一樣用於安控的話不用告知 09/21 08:33

→ Metro123Star 台鐵app其實好像就不打算用網站訂票的邏輯 09/21 08:51

→ Metro123Star 還是乖乖用網站訂就好 09/21 08:51

噓 darkMood 多一個賺錢管道? 個屁啊，難道這裡不買就不會買???? 09/29 05:15