財政部抽獎活動遭疑作弊!背後「彭家軍」抓到了 駭客鑽漏洞寫程式爽撈
https://www.setn.com/News.aspx?NewsID=1626139
從資安和網路技術角度來看,會有以下幾點可質疑其真實性:
1. 政府內部網路的安全性
政府機關內部網路有嚴格的資安防護措施
財政部及各稅捐機關的資訊系統通常受到層層管制,並不會輕易被駭客入侵。
抽獎系統若與財政部內部資料庫直接連結,應有嚴格的存取限制,
如:
多層防火牆 (Firewall)
入侵偵測/防禦系統 (IDS/IPS)
行為分析與異常偵測
權限控管 (Role-based Access Control, RBAC)
政府系統的帳號認證機制
如果是財政部舉辦的活動,參與者應該會透過 身分驗證機制(如自然人憑證、簡訊 OTP),而不太可能讓使用者隨意創建 Google 帳號參加。
若僅透過 Google 帳號登入,那麼該系統的資安設計本身就有重大漏洞,這點本身就不太合理。
2. 「遊戲系統漏洞」與「抽獎機率 84.6%」的矛盾
抽獎機率如何計算?
文章提到駭客「利用遊戲系統漏洞,使得中獎機率達到 84.6%」,但並未說明具體原理。
通常抽獎系統的隨機機制(RNG, Random Number Generator)應該是獨立運行,若駭客能精準控制機率,意味著:
他能直接修改後端數據 → 這表示系統 沒有基本的資料完整性檢查,這對政府機關來說是不可能的設計。
他能操控抽獎演算法 → 這代表 駭客完全掌握了程式碼,甚至能影響伺服器端的運行,但政府機構的資安管理絕不會讓這種情況發生。
3. 「操控 2000 個遊戲帳號」的實務可行性
Google 帳號限制
一個設備短時間內註冊大量 Google 帳號會被 Google 偵測並封鎖。
若駭客註冊 2000 個帳號,可能需要:
不同 IP 來源(透過 VPN 或代理 IP)
不同設備指紋(模擬不同裝置)
不同的驗證方式(手機門號驗證)
但 Google 對此類「異常註冊行為」早已有風控機制,普通人要大量建立帳號並非易事。
自動化作弊程式的運行環境
假設這名駭客真的能夠控制 2000 個帳號來操作抽獎,那麼他需要:
伺服器集群或大量虛擬機
自動化機器人(Bot)來執行大量請求
但若活動有基本的人機驗證機制(如 CAPTCHA),這種作弊手法就很難實現。
4.妨害電腦使用罪
若駭客真的修改了抽獎機制,這應該屬於詐欺取財,而非單純的「妨害電腦使用罪」。
利用系統漏洞大量創建帳號參加抽獎
刑法第358條
無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者
刑法第359條
無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄
有2個要件,(1)無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄 (2)損害於公眾或他人者
358是利用弱點或漏洞而入侵他人之電腦或其相關設備者
359是電磁紀錄
如果駭客真的控制了 84.6% 的中獎率,影響規模應該相當大,但最終僅交保15萬元,與案件的影響力不成比例。
這暗示了兩種可能:
案件本身並不嚴重,可能只是「人頭帳號」操作,而非真正的駭入攻擊。
案件根本不存在,屬於誤導性的報導。
結論
就是政府內部網路有嚴格管制,不可能被輕易駭入。
抽獎系統與遊戲系統的漏洞機制不同,說法不合理。
利用 Google 帳號機制作弊的難度極高,理論上難以規模化操作。
留言列表
