這才叫駭客
September 21st, 2006
剛才在 Wired blog 上看到一篇文章,大意是這樣的:在美國維吉尼亞州發生了一件竊盜案件,嫌犯從網路上獲取商店中 ATM 提款機的操作手冊,他老兄便到某加油站的提款機去,從鍵盤輸入特別操作碼以及預設密碼,進入該 ATM 的管理模式。美國的 ATM 提款機一般都是提供 20 元美鈔供客人提領,接下來,嫌犯將該 ATM 給鈔盒設定其存鈔面額為 5 元,然後利用預付信用卡提領現鈔,機器吐的張數是以 5 元來計數,但實際吐的是 20 元的鈔票,於是嫌犯當場海噱一頓揚長而去。
這件事本來可以做的很漂亮的,但嫌犯忘了將機器設定回去。於是機器就繼續努力地發鈔,直到有一天終於有個誠實的人向加油站舉報,這整件事才被爆破出來。(謎之聲:可見那台提款機還真的是很少人用 …)
這個事件可以說是個典型的軟體工程負面教材,隨便都可以列出許多缺失:
這些都可以由簡易的 STRIDE 分析找出對應的防制措施才對,可見當初設計時根本沒做 (或是不知道要做)。現在就等等看其他國家的提款機什麼時候會傳出災情吧 😀