個案研討：破解悠遊卡編碼

以下為一則新聞報導，請就此事件加以評論：

• 台北市一名高中生疑似利用NFC讀寫器破解悠遊卡晶片內的金額編碼，成功改寫卡片儲值金額數十次，造成悠遊卡公司損失成為首例，警方獲報後2月破案依法送辦。警方調查，這名超狂高中生並非就讀電子相關科系，疑透過自學研究購買NFC讀寫器，成功破解悠遊卡晶片內的金額編碼位置，並自行改寫卡片儲值金額，嫌犯將改寫免費儲值後的悠遊卡，在捷運票卡查詢機操作退費轉成現金，或是用悠遊卡消費購買高價商品、遊戲點數，根本悠遊卡當成提款機用。捷運公司於去年底發現短時間內出現多張悠遊卡異常退刷，且金額均為新台幣1000元，懷疑有異立即通報警方，北市南港警分局獲報後，透過票卡查詢機監視器畫面鎖定涉案高中生，今年2月間持拘票至其住家將他查獲，男子遭逮時已輟學，面對警訊時坦承犯行遭依詐欺罪嫌送辦。   (2025/6/26 中天新聞網)

傳統觀點

• 這也太好賺了，該高中生算是罪犯還是人才？

管理觀點

這起案件顯然是利用悠遊卡內部管理系統的漏洞成功圖利自己的典範。這名高中生並非就讀電子相關科系，疑透過自學研究購買NFC讀寫器，成功破解悠遊卡晶片內的金額編碼位置，並自行改寫卡片儲值金額，嫌犯將改寫免費儲值後的悠遊卡，在捷運票卡查詢機操作退費轉成現金，或是用悠遊卡消費購買高價商品、遊戲點數，根本悠遊卡當成提款機用。既然利用此手法就能成功，證明該系統的安全設計，及防盜、防偽警報系統存在極大之不足，只要高中程度且非電子專業的學生就能破解，尤其是儲值後退費的異常偵測及自我檢查機制存在漏洞，根本無法防弊，才會讓不法份子有可乘之機。

悠遊卡既然也可作為一種支付工具，顯然以現在的管理方式是無法防弊的。首先，要作為支付工具一定要採用實名制，所有的收支路徑都有記錄可以追蹤，出問題時才不會斷線且能立即發出警示，最能將歹徒當場識破。還有，每個人都一定會有自己的消費習慣，系統可以根據這些訊息，作為檢查是否異常操作的線索。凡是被歹徒利用過的流程，都應該重新檢討為什麼沒能發現異常？例如，捷運票卡查詢機辦理退費現金時的程序，是否要增加什麼把關設計(例如需臨櫃且查驗身分證明)？利用悠遊卡高額消費時要有什麼審核確認機制？充值時的收支核驗機制？重複相同方式使用時的驗證機制……等等。

同學們，關於本議題你還有什麼心得或點子？請提出分享討論。