作者godofsex (性愛戰神)
看板MRT
標題[新聞] 獨家/北捷、台鐵遭詐財!因悠遊卡晶片
時間Sat Jul 12 22:48:48 2025
獨家/北捷、台鐵遭詐財! 因悠遊卡晶片「易解」+「時間差」
2025-07-12 20:30
東森新聞
不到一個月的時間,北捷、台鐵都遇到用悠遊卡無本加值或偽造的退費事件。(圖/東森
新聞)
一名高中生改寫悠遊卡的編碼「無本儲值」,A走悠遊卡公司數十萬,現在台鐵公司也被
集團盯上。至少3人先利用悠遊卡儲值定期票,再疑似大量複製「偽卡」,重複到櫃台辦
理退票、換現金,直到有票務人員發現系統異常才趕緊報案。
清查下來,這3人所持有的悠遊卡都是同一組卡號,成功在台北、桃園站退款7次,詐騙金
額破萬。
不到一個月的時間,北捷、台鐵都遇到用悠遊卡無本加值或偽造的退費事件,進一步調查
發現,雖然不是同一人所為,手法也不一樣,但專家就說,悠遊卡第一代的晶片加密已經
多次被破解,安全機制不充足,加上北捷台鐵與悠遊卡間對帳需要時間差,都讓有心人士
鑽漏洞。
日前才有高中生把北捷當提款機,如今同樣事情又發生在台鐵。兩個案件共同關鍵點就在
這張卡上面,嫌犯竄改卡片上的金額記錄,想要無中生有賺大錢。初代的mifare晶片,資
安專家直言,網路上就有不少破解教學。
資安專家林秉忠:「悠遊卡剛好是用MIFARE Classic,也就是MIFARE第一代的晶片,其實
在大概2008年的時候就已經被破解,所以這個安全機制,的確是比較沒有那麼充足。」
而除了這項漏洞,把悠遊卡當載體的場所百百種,怎麼會挑台鐵跟北捷退費?則是因為目
前無論是北捷還是台鐵公司,無法立即得知卡片金流,需要等跟發卡公司,也就是悠遊卡
公司對帳後才會曉得,而這空窗期就給了駭客可乘之機。
資安專家林秉忠:「有很多悠遊卡在到處通行,最終還是要對帳,你有儲值、還是你有把
錢消費掉,最後這個帳戶都要回到悠遊卡公司來做查核,看台鐵多久跟悠遊卡公司做對帳
,有很短的空間。」
這帳不是不算,只是時候未到。資安專家認為,在不更新晶片的狀態下,要升級這張卡的
安全性,有流通的場所也能有積極作為,像是密集或甚至及時跟悠遊卡對帳,或是退費過
的卡號特別註記等等,才不會讓類似偽造或無本加值事件層出不窮。
https://news.ebc.net.tw/News/Article/501267/
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.10.218.132 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MRT/M.1752331730.A.FAD.html
1F:推 jin062900: 阿不就悠遊卡公司死不改 要把這些卡當傳家寶流傳 07/12 23:12
2F:→ jin062900: 連後面出的新卡都在模擬舊卡 07/12 23:12
3F:→ hinajian: 改要花成本啊 裝死就好 有事再叫警察去抓人 07/12 23:38
4F:推 ultratimes: 拿卡去退的不能當下查核嗎?金額不符著就先押著 07/12 23:58
5F:→ ultratimes: 金額符合餘額直接退,金額和悠遊卡系統不符著就先押著 07/12 23:58
6F:→ ultratimes: 直到對帳完成再退錢 07/12 23:58
7F:→ ultratimes: 或是最簡單,卡片金額<=系統記載金額才直接給退 07/13 00:00
8F:→ ultratimes: 如果卡片金額>悠遊卡公司最後記載金額,一律先押後退 07/13 00:01
9F:→ hicker: 其實就最簡單 退卡時卡片收走但不立刻退款 把卡拿回去檢核 07/13 00:13
10F:→ hicker: 之後再寄退款信給退卡者 最後就憑這封信退款 07/13 00:14
11F:→ pig4910: 悠遊卡什麼化石系統死不改有什麼辦法 07/13 00:23
12F:推 shinningyu: 就是改成現在卡片損壞時的退費方法吧 07/13 00:35
13F:→ yesonline: 要改成退卡時.強制連線回悠遊卡公司的帳務伺服器查詢.. 07/13 01:36
14F:→ yesonline: 對卡號與金額與最後交易地點.. 有出入就扣卡註記+報警 07/13 01:37
15F:推 ez910115: 沒差,現在免費供應衛生棉比較重要 07/13 02:00
16F:推 Landius: 這些單位也只是單純卡片公司授權退費,真要不授權就是全部 07/13 02:22
17F:→ Landius: 丟回卡片公司辦理,只是知道的都知道卡片公司連個給人拍桌 07/13 02:23
18F:→ Landius: 子的攤位都少到靠北. 07/13 02:23
19F:→ Landius: 更別說像UU卡公司的客服電話靠杯難打進去... 07/13 02:24
20F:推 iwinlottery: 20年經濟最好 07/13 07:01
21F:推 JackChe: 董座都被前市長拿去養網軍頭子了可以期待什麼 07/13 07:19
22F:推 mtc5566: 笑死 免費供應衛生棉比較重要www 07/13 11:58
23F:→ temu2015: 強迫留證號就好了啊 07/13 12:23
24F:噓 cytochrome: 抓?笑死,詐騙集團等下就買幾千個人頭去櫃檯行使退費 07/13 13:01
25F:→ cytochrome: ,到底懂不懂台灣生態阿 07/13 13:01
26F:推 y11971alex: 如果不退錢 台鐵跟捷運損失有限 多數人沒時間玩花樣 07/13 13:27
27F:→ xluds24805: 退款應該要即時跟悠遊卡公司查詢餘額才對 07/13 13:47
28F:→ xluds24805: 或是不要現金退,而是退回銀行帳號。有問題至少能馬上 07/13 13:49
29F:→ xluds24805: 抓到人 07/13 13:49
30F:推 vestinland: 悠遊卡公司再繼續用多年前的規格呀,拖累到其他業者 07/14 16:52
31F:→ vestinland: 人家日本、新加坡、香港都逐漸更新卡片了就你悠遊卡 07/14 16:54
32F:→ vestinland: 公司還在20年卡片拿去機器讀一下,再延長五年喔 07/14 16:54