張啟元資安事件簿

鑽系統漏洞、竄改退票金 企圖以40元詐20萬 被告還感嘆

〔記者黃捷、鄭瑋奇／綜合報導〕二○一三年發現臉書漏洞、被網友封為「台灣天才駭客」的廿六歲張啟元，涉嫌利用台灣高鐵公司「T-Express行動購票」系統漏洞，在去年十二月花四十元訂了一張南港─台北區間車票，擬竄改系統將退票金額改為二十萬元，高鐵帳務稽核時發現異常並報案。

請繼續往下閱讀...

檢調九日發動搜索，約談他到案說明。據了解，張辯稱他的目的是要證明高鐵系統有漏洞，若真的收到二十萬，會還給高鐵。桃園地檢署複訊後，依妨害電腦使用、詐欺得利未遂罪諭令十萬元交保。

檢調查出，張啟元去年十二月間以筆記型電腦架設代理伺服器，做為家中網路與網際網路的中繼站，再安裝免費軟體「Fiddler」，該軟體可以用來觀看HTTP協定的運行模式，是網頁設計師及網路管理人員常用工具。

張將手機連上自家網路，登入高鐵購票APP，多次嘗試購票及退票，並透過「Fiddler」攔截訂票相關的封包，修改金額參數，欺騙高鐵內部系統。

張多次嘗試失敗後，改訂購最便宜的「南港─台北」四十元區間車票一張，交易成功後再辦理退票，將退款金額改為二十萬，完成交易。不過高鐵人員比對帳務時，發現該筆退款金額異常，懷疑遭駭入，中止退票程序，並向檢調告發。

張啟元二○一三年發現臉書漏洞，駭入後台系統刪除臉書創辦人馬克．札克柏格的貼文，一戰成名，他總共成功侵入臉書六次，臉書也陸續發出破百萬的獎金。

6次侵入臉書 曾駭入統聯挨告

二○一五年間，張啟元也曾駭入統聯客運售票網站，用一元買到台中往台北車票，他向統聯櫃台提醒系統漏洞，但統聯提告，被依詐欺得利罪判拘役六十天，易科罰金六萬元。

辯為台灣資安努力 調查局打臉

張啟元前天在個人臉書上感嘆，國外相當歡迎「白帽駭客」，在台灣只會「被查水表」，「有多少真正為了台灣資安努力的人，被重重地潑冷水？」他已不是第一次挨告，決定不再參與台灣資安活動，不會再說自己是台灣人。調查局資訊安全處則駁斥，未經同意侵入他人電腦或系統，就涉嫌違法。

張啟元解釋，如果他要做壞事，根本不會填寫真實資料，還使用固定IP訂票，他是以「白帽」角度來做這件事，「我又不是怪盜基德，要偷東西還故意留紙條、留真名哦？」

但資安處表示，「白帽」合法與否的關鍵，在於是否受委託或被同意，一般資安公司對企業網路進行滲透測試，雙方會先簽署合約，沒有法律問題，才是真正的「白帽」。張啟元雖聲稱得手後會還錢，行為仍涉嫌違法，以撿到遺失物為例，許多人第一時間未歸還，直到遭依侵占罪送辦後，才辯稱只是尚未報案，沒打算據為己有，通常不被法官採信。

張啟元因駭入高鐵系統遭法辦，在臉書上感嘆「白帽駭客」在台灣不被認同。（取自張啟元臉書）

張啟元因駭入高鐵系統遭法辦，在臉書上感嘆「白帽駭客」在台灣不被認同。（取自張啟元臉書）

張啟元侵入高鐵購票APP遭搜索約談，他向檢調示範手法。（調查局提供）

不用抽 不用搶 現在用APP看新聞 保證天天中獎　 點我下載APP　 按我看活動辦法