旅行社后台漏洞被黑客利用 损失上百万

云南省多部门联合开展2017年春运交通安全警示教育活动

原价375元一张的上海迪士尼门票,在网站售票系统上,居然被人改成每张1分钱,还被买走2700张!昨天,上城警方通报了这起非法获利计算机信息系统数据案。
2016年10月18日,杭州一家旅行社的工作人员龚先生,慌慌张张跑到湖滨派出所报案。
“我们是帮迪士尼做票务代理的,按协议价从上海迪士尼拿门票,在自己的票务系统出售。不知怎么回事,系统突然出现了问题,门票居然以每张1分钱的价格卖了出去,卖了快2700多张。”龚先生说,这笔损失有100多万元。
民警推测,很有可能是这家旅行社的票务系统遭遇了黑客攻击。经过一个多月的分析追踪,去年11月25日,民警在南京抓住了两位核心嫌疑人赵某、李某。
赵某23岁,浙江瑞安人,之前就有过非法获取计算机信息系统数据的前科记录。李某是他女朋友,北京人,比他大一岁。
从去年9月底开始,两人通过黑客软件,利用旅行社售票网站的漏洞,多次攻击网站的票务系统。民警说,这个系统漏洞一般人发现不了,直到大半个月后旅行社查账,才发现这个问题。
“一开始,他们改完价格后,买了80多张,没有被发现,胆子就大了,过了几天,就几百张地买。”民警说,两人先找好黄牛下家,以220元至230元不等的价格转手,确认能出售后,就开始“扫货”,2700多张门票赚了50多万。
“攻击这家旅行社使用的黑客软件,是他们从一个黑客群群主那买过来的。使用难度不大,但也需要具备一定的电脑技术。”
被曝光的黑客入侵事件似乎只是冰山一角,原因之一是黑客帮忙进行了简单问题的修复以便独享利益。
民警说,两个都是专科学历,也不是计算机相关专业,但据他们自己说,对计算机技术,特别是黑客技术很有兴趣。“他们有一个‘赚客群’,经常在群里交流技术经验,互相提供存在网络漏洞的网站。这起案子的另一名主要嫌疑人黄某,就是他们在这些黑客群里认识的。”
11月28日,专案组在福建抓获了黄某。黄某是福建龙海人,学历不高,才刚满20岁,但在圈子里已有些名气。此外,在网上收购一部分黄某等人盗来门票的黄牛伍某,也在湖南永州老家被民警抓获,现已押解回杭。现四名犯罪嫌疑人已被上城警方刑事拘留,案件还在进一步调查中。
此外,可能有市民会担心,如果可以轻松利用网站漏洞篡改价格,那在日常网购中的那些网站是不是也会存在风险?昨天记者也咨询了一些电商平台的负责人,据他们表示,通常运营后台都会有风控团队,对数据进行实时监测,发现异常第一时间处理,这样的情况基本不会发生。
同样,民警也表示,这点不用太过担心,“犯罪嫌疑人购买的黑客软件,其实在网上并不难找。他们试图利用这个软件攻击过很多网站,但只有这家旅行社中了招,原因是他们自己网站系统存在漏洞没有及时更新,没有第一时间在大量异常出票后发现问题。但生活中的很多网购,基本第一时间后台就能收到购买信息,几乎很少出现这方面的问题。”
来源:每日商报
国民经济新方位 国家旅业新方向
国家旅业2017开年头脑风暴大会

服务器防黑加固丨杀毒软件根本没什么用?

趋势 路径 机遇 挑战

日本政府针对奥运网络攻击将正式实施大规模演习

咨询电话:01064978158
咨询qq:800051151

长按二维码,直接报名
驱动信息安全意识教育三大力量
该文章作者已设置需关注才可以留言
微信扫一扫关注该公众号

“可信”的人在存在漏洞的制度体系下,可能会变得更加“可怕”,所以我们尽最大努力完善体制建设,对关键岗位,采用多人负责、任期有限、职责分离、工作分开、权限随岗等原则,还加大了对关键控制点的审计频率。

猜您喜欢

科技人员涉外安全保密教育手册
信息安全小游戏”网络安全保卫战“
网络安全公益短片个人信息保护实战
23个让你脑洞大开的事实 不看后悔一辈子
N8W BIGJUICYASS
保障信息安全的5招必备武功