网购屈臣氏1500万结帐0元 骇客冷笑「花100万请我不回去」
台湾知名药妆连锁店屈臣氏网购平台遭骇!港商屈臣氏稽核人员发现从2018年12月公司网购平台涌入146笔异常订单,下订超过2300件商品,其中包含几十台高价的Dyson吸尘器,结果结帐金额居然是0元!屈臣氏稽核人员发现已遭取货90多笔药妆订单,财损金额近300万元,但因骇客实在太贪心,最后一笔订单一次订购几十台Dyson吸尘器,屈臣氏认为「一般家电行也不可能订这么多台!」,因而发现系统遭骇报警,刑事局电侦大队日前逮捕涉案谢男、利女2人。
屈臣氏去年12月间发现手机板网购APP有146笔结帐金额为0元的订单。怀疑歹徒骇入网购平台,或者利用APP购物车API(应用程式介面,Application Programming Interface)系统漏洞来破解结帐功能,并将商品结帐金额更改为0元后顺利出货。
▲屈臣氏遭骇,骇客利用0元付款漏洞大买免费商品,警方查扣犯嫌家内商品堆积宛若药妆店仓库。(图/记者张君豪翻摄)
▲屈臣氏遭骇,骇客利用0元付款漏洞大买免费商品。(图/记者张君豪翻摄)
屈臣氏指出,这些异常订单一开始只购买低价药妆品、面膜。后来歹徒贪心利用此漏洞在最后一天下订数十台高价Dyson 3C吸尘器,厂商内部稽核系统显示异常,电商平台遭骇问题才曝光。
屈臣氏事后清查、发现歹徒已订购市价超过1千5百多万元,约2千3百多笔商品,实际出货商品损失金额约新台币298万!屈臣氏事发后向刑事局电信侦查大队报案后,警方追查根据歹徒下订上网IP锁定家住新北市板桥区的曾任职屈臣氏的离职员工谢姓男子(27岁)及利姓女子(37岁)涉案。
警方2月14日收网逮捕两人,并在两人住处查扣手机6支、笔电2台、信用卡44张、商品订购单一批及网购取得之药妆商品2千3百多件。警方发现两人目前均从事网拍业,警怀疑他们把0元购得的药妆品低价转卖牟利。
刑事局电侦大队指出:经调查警方发现两人均为专科毕业,并无资讯工程背景,但却有能力骇入屈臣氏网购平台相当离奇,后来警方解析谢姓男子手机,发现谢男手机有屈臣氏网购平台「工程师模式」版本的APP!
警方指出:工程模式APP是网站平台开发商、资讯工程师才拥有的内部测试平台,警方怀疑曾任职屈臣氏公司物流仓储的谢男可能透过管道拿到屈臣氏网购工程平台程式、才取得可以0元付帐的权限漏洞。
加上谢男落网时,曾露出诡异微笑向警方表示:「屈臣氏就算花一百万元请我回去我也不要!」警方怀疑屈臣氏公司有内鬼把工程师APP流出才导致平台遭骇,检警虽然在2月14日就收网逮人,但仍请屈臣氏香港总公司修补网站、APP漏洞、加强内部稽核后,才在11日披露该公司遭骇财损案情,警方讯后将两人分依涉刑法第339-3条对电脑机器诈欺罪、妨害电脑使用罪移送法办。
【其他新闻】