科技大企業如 Line、Google 都不敢說自己的系統百密而無一疏,甚至還會提出獎金來鼓勵大眾抓 Bug,不過對於統聯來說,公司的系統有如世紀帝國城堡時代的城堡一樣固若金湯,自然是沒有 Bug、沒有漏洞,不需要擔憂的了。
一名曾經刪除 Facebook 創辦人貼文、破解 iBon 系統漏洞的年輕駭客張啟元,在上月底時以線上刷卡方式,購買統聯客運一張票價 220 元,從台中往台北的車票。從中,他發現銀行與統聯的界接頁面上出現漏洞,可以將票價金額竄改成 1 元。過程中,張啟元事稱有先行寄 email 通知統聯發現漏洞,卻未獲得對方回覆。隨後,張啟元搭上北上,至統聯系統告知漏洞,卻遭統聯以侵占罪向警方報案。
最扯的是統聯總經理強調:「統聯沒漏洞」,並且將保留法律追訴權,甚至被問到是否考慮與張合作來解決現有漏洞問題,他則以「跟張合作要去哪邊鑽漏洞嗎?我想不會吧!」來回應。
張啟元抓漏洞的程序合不合法,其實是另一個法務層次的問題,但是,在這裡我們要談的是背後的「動機」。
在駭客界中,若要粗分可以分成「好駭客」、「壞駭客」,好駭客發現系統漏洞後,會告知企業,並不會從中盈利;反之壞駭客可能利用漏洞,去危害他人利益。若真的要嚴格檢視張啟元的做法與動機,他其實並沒有要營利,但是在過程上,因為真的搭乘了那張 1 元車票的客運而有了法律上的瑕疵。
在國外,Google、Line、微軟都曾經舉辦過全民來抓蟲大賽,邀請各界好手來找系統漏洞,找到反而有賞。但是這樣的風氣在台灣並未臻至成熟,企業仍然以保守心態來面對系統漏洞,甚至會向統聯一樣「見笑轉生氣」。
或許,就是因為想要創造出一個「企業值得信賴、有在做事」的大眾印象,統聯才會採取如此態度回應,不過也就是如此,反而凸顯出傳統企業在面對科技世代的資訊問題時,處理態度反而綁手綁腳,無法說服消費者。張啟元的行為並不是真的侵佔了客運公司的大筆利益,但是統聯的資訊素養,其實也藉此被看破手腳了。
