【原创 · 舞弊案例】二维码门票遭篡改,迪士尼乐园陷漩涡
案例回放
为迪士尼乐园票务服务提供后台支持和管理工作公司的员工白某某,利用工作之便盗取迪士尼乐园门票二维码票号2600余张,篡改日期后贩卖给他人共计1700余张,获赃款49万余元,造成上海迪士尼乐园损失87万余元。犯罪嫌疑人白某某等人已被浦东新区人民检察院以涉嫌盗窃罪、掩饰、隐瞒犯罪所得罪等罪名批准逮捕。
疑窦丛生:网上买的票居然无法使用
2016年7月14日上午,小方带朋友到上海迪士尼乐园准备入园,竟然被告知,其之前在阿里旅行网通过支付宝购买的电子门票已经在几天前被他人使用了,不能入园。
迪士尼乐园的工作人员经过调查后发现,最近此类情况时有发生,遂怀疑系统内部相关票务信息被盗并被篡改后出售给他人。警方介入调查后,根据网站登录的IP地址顺藤摸瓜,最终在其单位将白某某抓获,继而抓获多名出售伪造门票的下线黄牛卖家。
查明真相:90后大男孩发现漏洞并持续作案
白某某是一名90后大学毕业生,案发前在上海一家科技公司上班,其所在的科技公司是为迪士尼乐园票务服务提供后台支持和管理工作的,可以获得相关记录。
2016年6月,白某某认识了一个姓丁的女黄牛,丁某给了他一张迪士尼电子门票,问能不能做出来。因岗位职责熟知售票软件运营情况,他就想试着做一下。当天,白某某利用票务系统漏洞成功获得迪士尼电子门票,通过篡改日期变造了门票,随后萌发了利用这一方法牟利的念头。
白某某通过黄牛票贩,利用网络、微信等信息平台,发布出售迪士尼门票的信息,再根据下家需要的数量,去更改他人已预定并已付款的迪士尼电子门票日期,最后将更改后的电子门票订单确认号和门票二维码通过电子邮件发送到下家邮箱。迪士尼门票在暑假期间的官方价格为499元,白某某以每张280元左右的低价出售给黄牛,黄牛再加价出售给游客。由于这些改造后的电子门票大多能顺利通过安检,很多通过网络或现场黄牛购票的游客在不知情情况下,就购买了所谓的打折票、低价票而入园游玩了,等到真正的门票主人来游玩时,就会发现自己的门票已经被使用而无法入园。
据初步统计,从6月27日至7月20日短短一个月不到,犯罪嫌疑人白某某疯狂作案,盗取迪士尼乐园门票二维码票号2600余张,篡改日期后贩卖给他人共计1700余张,获赃款49万余元,造成上海迪士尼乐园损失87万余元。
案例分析
上海迪士尼开放时火爆的余温尚未褪去,就曝出这样一则负面新闻,吸引了太多的眼球。迪士尼这样一座全球性知名品牌,在百姓的感觉中,其代名词应该是环境优美、服务有序、管理完善等。可就其偏偏就在开放不久被服务外包的一家公司中的某工作人员给成功找到漏洞,并利用该漏洞给迪士尼带来87万余元的损失,给乐园的光辉形象抹上了一层薄灰。
对于迪士尼这样的超大型乐园而言,其首要的工作就是维护设备设施的安全以保障游客的生命安全,其后就是园区内不同场所的运营及服务保管,当然也涵盖售票收费。随着信息化的发展,其在工作与生活中应用越来越广,两者之间边界也就越发的模糊起来。迪士尼通过各大旅游平台向外发售电子门票,游客们手机接收或下载,到达园区门口后直接刷手机即可进入,既方便了游客又环保卫生。
任何技术的发展都是有利有弊,信息化带来便捷的同时也带来了系统性的风险。这个风险包括两个方面:
其一,开发的系统本身存在漏洞,这会给系统的后续使用埋下隐患;
其二,系统本身没有问题,但是其固化的管理或操作流程存在着漏洞, 47 31740 47 14987 0 0 2737 0 0:00:11 0:00:05 0:00:06 2833息化就等于把这些漏洞和问题固定在了系统中。无论是上述哪一个方面,一旦被有心人发现并加以利用,都可能给单位带来较大的损害。当然,除了系统风险之外,还包括硬件的存储环境与安全风险、系统和使用设备的运营维护风险等。
从本案例透露出的细节可以知道,该案件的发生主要是因为迪士尼乐园的票务后台系统权限管理不当,从而给予了白某某“钻空子”的机会。这其实反映出了乐园在系统运维管理中存在内控漏洞,才造成了今日之后果。同时,因为该造票系统的开发、服务与支持工作是外包出去,故还引发一个内控问题,即对外包系统的管理与监督。本案例正是因为迪士尼缺少对外包系统的监控,使得该系统在外包公司运营中权限设置过低而无法发现,直到案发后方才发现。
对于像迪士尼这样将信息系统进行外包管理的情况并不少见,很多公司为了降低信息系统的运维成本,而选择这种外包服务。因此,对于这种的风险,可以考虑通过以下几个方面进行管理:
其一,对外包服务单位的选择很重要。进行外包之前一定要充分对外包单位资质进行严格审核,需要了解的信息包括开设年限、工作地点、从业人员的资质情况、从业人员的无犯罪证明、离职率等,择其优者进行合作。
其二,通过合同将部分风险分担出去。与外包单位签订合同时,可以考虑将因外包单位的运营管理漏洞导致甲方出现的损失,需由乙方承担。此外,还可以通过合同指定外包公司对口的服务人员,无关人员不得也不能有机会接触本公司的系统。如此,也能在一定程度上降低本案例曝出来的风险事项。
【原创 · 舞弊案例】另起炉灶带走资料,离职员工侵权案上升成隐忧
【原创 · 舞弊案例】美食城收银退款出漏洞收银员串通套钱终发现
【原创 · 舞弊案例】联通员工盗取流量 致公司损失45万余元
【原创 · 舞弊案例】20余员工监守自盗 超市数月损失千万元
【原创 · 舞弊案例】一失足成千古恨 老会计因妒挪用款项百余万
Copyright©2014-2016 风控在线
该素材文章为风控在线微信公众号原创内容,为风控在线版权所有,如需转载,请注明转载自风控在线微信公众号。如未注明内容出处,我们将联系微信官方进行处理,谢谢!
点击【阅读原文】,查看更多案例