悠遊卡破解事件最近吵的沸沸揚揚,不僅上了各大新聞版面頭條,電視台也不遑多讓的拼命宣傳。只是,悠遊卡漏洞早在08年就被荷蘭研究員發現了,恩智浦(NXP)也在隨後推出安全等級更高的Mifare Plus晶片卡,詳情可見 非接觸式晶片卡遭破解 應用廣,安全要更高
悠遊卡公司所採用的Mifare Classic,也早在2010年的台灣駭客年會(Hacks in Taiwan),由國內某位知名的鑑識專家在大會中演示過,並且由Demo影片中,我們亦可見鑑識專家在破解之後,將卡片拿到捷運站進行餘額查詢,證明卡片的確可被加值成功,但僅止於此。
我們在資安產業常可以看見的現象是,某些有漏洞或不安全的網站、公司,常常宣稱自家服務有多安全,於是這些年輕狂妄又有技術的資安人員,看到一般人看不到的問題,在「看不下去」的自以為正義,血氣方剛之下就踏出這引人爭議的一步。
今天,無論他刷的是39元還是1萬元,犯法的行為畢竟都是不可取,但技術人員常常有著對研究的狂熱,更對法律對科技的規範了解不深,再加上資安技術不同於其他網路、系統技術,往往稍一不慎就游走在法律邊緣。此次他可能觸犯的是「電子票證發行管理條例」第三十條罰則。不過,更多不了解的技術人員,可能違反的是「刑法第三十六章妨害電腦使用罪」,例如即使是當我們在網路上無意間發現別人的帳號、密碼,就逛進去看看裡頭有什麼資料,就會觸犯刑法。
而其實,許多比較資深的資安顧問通常會在鑽研技術之際,仍撥空自修相關法律義務,這是保護自己也避免觸犯他人權益。根據我們的多方了解,吳姓資安顧問對於晶片卡安全這塊領域鑽研日深,只是,資安產業人士們也都沒想到…
這次,他玩過頭了。