羅夏樸指搶票程式技術不高。小圖:「電子黃牛」集團?#26368;IAndy,公然在網吧搶購演唱會門票。
羅夏樸指搶票程式技術不高。小圖:「電子黃牛」集團?#26368;IAndy,公然在網吧搶購演唱會門票。

「電子黃牛黨」利用「黑客」技術自製搶票程式,城市售票網不堪一擊!《星島日報》記者早前混入全港最大「黃牛」集團當「購票員」,直擊搶購演唱會門票秘聞其間,基於公眾利益及知情權?#21103;I取」程式,交予專家仔細分析,揭發該「搶票神器」運用癱瘓網站常用的DDoS技術,一秒「敲門」逾百次搶先登入網站購票,不過專家認為其技術含量不高,反映售票網防範搶票功能差劣,系統亟待提升,但相信「黃牛黨」屆時亦會改進程式,?#39640;@是一場永不休止的攻防戰!」

《星島日報》日前獨家報道記者混入「黃牛」集團,直擊網上搶票全過程,其間三名主管及老闆Andy一直嚴密監視「搶票員」工作情況,記者隨後趁眾人鬆懈之際,複製安裝於電腦的搶票程式悄悄帶走,送交專家測試,驚悉該程式雖然成功搶購數?#36092;?#28436;唱會門票,但竟然只屬低端科技。

專家:學生都編寫到

專注研究網絡及系統安全的理工大學電子計算學系助理教授羅夏樸表示,該搶票程式由Python編寫,乃初學者容易上手、功能強大及備有豐富資料庫的程式語言,近年流行的雲端儲存服務Dropbox也曾以它編寫,「不用勞煩專業黑客,我的學生都編寫到!」

羅夏樸指出,該搶票程式針對城市售票網系統設計,並利用黑客經常用於癱瘓或入侵網站伺服器的DDoS(阻斷式服務攻擊),不斷向相同網站發出連線「請求」,繼而搶先進入網站購票,不過其設定不算高端,很多步驟也未有編寫為自動化,例如未能自動輸入證明不是自動程式操作的「驗證碼」,仍須人手輸入,故此編寫成本甚低。

另外,羅發現該程式可以變換代表電腦所在位置的IP位址(互聯網協定地址 Internet Protocol Address)登入搶票,以防售票網系統發現它發出大量數據試圖登入而加以阻截。他解?#23560;?#32178;上有不少提供變換IP位址的代理伺服器,若支付少許成本購買該服務,便可逃過封鎖。

「騎劫」須付費伺服器

雖然該搶票程式技術水平有限,但仍成功搶購大量門票,羅認為城市售票網防範搶票程式功能欠佳,建議採用多重防禦,減慢「黃牛」進入網站的速度,並分析售票網多年來的用戶數據,改進識別自動程式的技術,另可提升驗證難度、規定必須註冊會員才可購票,並限制會員購票?#30340;康齲?#30456;信多管齊下可增加黃牛的成本,從而減少搶票。

另一位?#27963;?#36879;露姓名的系統保安專家指出,該搶票程式懷疑「騎劫」了須付費使用的代理伺服器,不費分毫變換IP位址,每秒向售票網發出逾百次連線請求,「相比普遍消費者用手指按鍵盤,等於兔子和烏龜賽跑!」當成功登入,他說程式可以自動選擇?#24863;乃?#22580;次及座位,「編碼有註明特定場次和座位區域,若寫上「true」(正確),程式便會選擇,寫上「false」(錯誤)不會揀選。」

選擇座位後,該專家稱程式會自動運行至收費頁面,並提取已預先輸入的信用卡資料,包括信用卡類別、卡號、持有人姓名及驗證碼等,當付款資料傳送至售票網後,便完成購票程序。他補充,若售票網在購買過程中要求輸入驗證碼,程式會在該頁面「?#21644;!梗?#31561;待操作者按鍵盤輸入,之後繼續自動運?#23567;?br />
「攻防戰」永不休止

由於不同演唱會的場次、座位編排等各有不同,搶票程式須進?#25032;?#25913;,但該專家指並不困難,只要修改程式中某些編號,便可繼續使用。

該專家也認為,進行多重驗證較有效阻截自動程式,但也會令普通消費者感到不便,而且售票網提升了防範技術後,「電子黃牛」也會升級程式,「攻防戰」永難停止,因此科?#23478;?#22806;的阻遏手段須同時實行,包括立法打擊和研究「實名制」購票?#21462;?br />
「追擊黃牛」系列之二

記者:陶法德

原文刊於《星島日報》