利用Watsons App漏洞 免費刮走200萬貨物

(台北11日綜合電)台灣2名網拍業者,利用屈臣氏(Watsons)藥妝網購APP漏洞,將購物車結帳金額改為零,詐騙廠商出貨,再低價販售獲利。

屈臣氏去年底發現提供客戶購物的手機應用程式,多筆異常訂單,且結帳不符合網站標示金額,疑似遭歹徒利用購物車的應用程式介面的系統漏洞,破解結帳功能,並將商品結帳金額更改為0元順利出貨,期間更發現歹徒貪心地利用類似手法企圖以0元方式來嘗試購買高單價吸塵器商品失敗,最後遭出貨廠商發現才東窗事發。

屈臣氏事後清查,已被成功訂購2000多筆商品(估算約新台幣1500百余萬元,約198萬令吉),實際出貨商品損失金額超過200萬元(約26.44萬令吉)。這是屈臣氏首次出現遭竄改價金詐騙商品案。

屈臣氏網購APP傳漏洞,前員工買1500萬藥妝竟0元,警方在嫌犯住處查扣堆積成山的藥妝,依詐欺罪送辦。

刑事局電偵大隊追查,循線查獲27歲謝姓男子、36歲利姓女子涉案,兩人平時以網拍商品為主業,熟稔各種網路賣場機制,因此每次上網購物都會嘗試尋找各賣場的漏洞機制。去年12月初,曾是屈臣氏倉儲員工的謝男,與利女使用手機操作屈臣氏APP購物車,大肆搜購各種商品,以0元結帳,再上網轉賣。

兩人犯案第6天,屈臣氏接獲供應商反映,指有民眾一次購買數十件高單價的Dyson吸塵器,因商品量太大覺得有異攔下,屈臣氏檢查,驚覺系統漏洞,趕緊修補並報案。

刑事局日前在新北市板橋區拘提謝、利,他們坦誠,因發現屈臣氏網站系統出現資安漏洞,即購物車結帳金額程式邏輯錯誤,會產生總計費用歸零漏洞,故由謝嫌利用人頭電話注冊該手機應用程式,每天以0元價格大肆購買各種美妝商品,然後在自己架設的網路賣場低價轉販售牟利。

警方搜索扣他們詐欺網購取得的商品共30箱,包括127種美妝商品,總計2300多件,訊後依詐欺罪移送,兩人分別3、5萬交保,警方目前針對電腦漏洞部分,擴大追查有無其他駭客共犯。

警方在嫌犯住處查扣大量美妝贓物,猶如藥妝店的倉庫一樣,品項琳琅滿目。嫌犯利用網購APP程式漏洞,怎麼買都顯示0元。

文 綜合報導圖 互聯網視頻 YouTube

參考來源

喜歡這篇文章嗎?立刻分享出去讓更多人知道~