购票平台遭遇黑客攻击，买票不用付钱，车站遭退票套现19万余元 [出自:jiwo.org]

现代快报讯（通讯员 崔颖 记者 陶维洲）网上购票已经越来越普遍，但有不法分子已经盯上了网上购票平台。近日，江苏省苏州市姑苏区检察院披露了一起网上购票系统遭攻击的案件。2016年11月，苏州长途客运微信购票平台遭攻击，“黑客”利用发现的系统漏洞可以不付钱就成功买到车票，然后退票套现，涉及金额19万余元。目前，主犯陈某因涉嫌破坏计算机信息系统数据和应用程序罪、传授犯罪方法罪，已被姑苏区人民检察院依法提起公诉。

2016年11月上旬开始，汽车站的退票窗口出现了大量远途、长途车票的退票现象。“每次都是退票5张、10张以上，有的甚至退单达到20张以上。而且这些退票都是超长途，比如苏州到深圳、广州、天津等地。”购票平台技术支持公司筛查发现，购票平台遭“黑客”恶意攻击，操作者跳过了买票的支付环节，在没有支付任何费用的情况下，直接下了购票订单。之后，操作者通过自助取票口获得车票后，再到各个车站的退票窗口退票套现。这一现象，在苏州大市范围内的长途客运站都有发生，姑苏、吴中、常熟、张家港等均未能“幸免”。为此，报警当天，该微信购票平台被紧急关闭。

目前，陈某因涉嫌破坏计算机信息系统数据和应用程序罪、传授犯罪方法罪，已被姑苏区人民检察院依法提起公诉，其他涉案人员仍在进一步调查之中。

检察官介绍，陈某的犯罪行为，对长途汽车客运市场造成了不可估量的损失。苏州汽车北站工作人员表示，犯罪嫌疑人从网上下订单以后，部分车票被退票套现，而部分车票却被废弃了。客运配载发生紊乱，大量大巴车出现空载、空跑现象，客运站损失惨重。而且，经此事件后，苏州长途客运网上购票规则进行了修改，不如原来那么便利，客观上也造成了客源流失。

以上信息来源于现代快报。

这个新闻让不得不等想起自己的一个用户，一个风景区售票系统，我们的测试人员发现可以将他们的门票价格进行自由修改，并用1元成功购买原价100多元的门票。好在该漏洞没有被不法分子发现，没有对景区造成经济上的损失。在我们提交该漏洞后，景区紧急安排软件开发方进行了修改。再看这则新闻里车票未付款就可以成功购票，其实也是软件自身功能性、安全性上存在一些缺陷，而且不仅仅是苏州长途客运站一个站，姑苏、吴中、常熟、张家港等客运站都有这个问题。可见在售票系统，很大可能性还有不少地方的类似系统存在这样的漏洞，只是没有被人发现或者利用，亦或是被利用了还没有被发现。所以不得不等建议广大用户朋友有类似交易系统涉及到金钱的，一定要足够重视到其安全性，一不小心就会给单位带来直接的经济损失，对单位声誉造成不良的影响。在系统正式上线前可以考虑做几件事：一是可以通过等级保护测评进行系统的整体安全性测试，发现系统潜在的安全问题；二是可以通过专业的软件安全测试，进行软件代码审计，发现软件本身的安全性缺陷；三是对发现的问题进行及时整改，该有的安全防护措施要有。在日常与用户交流过程中，很多用户对软件安全性考虑的很少，基本就是软件功能能实现就可以，至于软件内部的安全、逻辑考虑的少之又少。这样的软件带病上线，被攻击也是迟早的事。当然我们也看到越来越多的用户要求在项目验收前需要通过等级保护测评或者进行专业的安全评估测试，这样可以有效地降低系统上线后出现安全问题的概率。

你不伸出“网络安全”的手，难道还真指望上帝来拯救你的系统？