又有漏洞!电商平台7小时被盗140万的背后竟是……
电商平台漏洞背后的内幕竟是……
❶
电商平台漏洞被发现
7小时被盗走140万
11月19日,重庆市公安局渝中区分局破获一起涉嫌利用某电商平台系统漏洞实施盗窃的“黑客”团伙犯罪案件。事发今年5月,重庆某商业管理公司报警称:
他们的电商平台数据在5月13日23时至14日6时的7个小时内,出现异常,估计被黑客利用网站代码漏洞,恶意透支,通过第三方交易平台购买话费、油卡、实物等进行消费,共造成140余万元的资金损失。
经警方技术人员现场勘验、检查,发现该电商平台存在支付流程逻辑漏洞,后通过民警的技术论证复原了嫌疑人整个作案经过:
犯罪嫌疑人先在平台APP上注册2个账号,登录其中1个账号,向另一个账号进行转账操作,并在转账期间,使用抓包软件截取相关数据,然后修改转账数值(即把转账数值改成负数),再将改好的参数,依原路径发送过去,在转账成功后转出的账号就是正数,而接收转账的账号就是负数。
通过不断重复以上操作,犯罪嫌疑人就完成了不花一分钱,使账号不断累积可变现的积分。接着再通过第三方交易平台,消费该平台账号资金,即不断为全国各地手机号码充值、办理充值加油卡、在大型电商平台上购物、在旅游网站上订酒店、预交旅行费用等多种方式进行套现。
经调查,主要犯罪嫌疑人男子莫某某交待了自己通过使用黑客软件扫描出该电商平台的系统漏洞后,利用从网上学来的黑客技术,盗取电商平台资金的犯罪事实。
他在首次成功盗取了该电商平台内资金账户后,为炫耀“技术”,同时也为了掩盖自己的盗窃行为,立即将整个入侵盗窃过程,在自己的黑客圈子里进行发布传播。
没想到圈内“好友”们立即一拥而上,如法炮制,致使该电商平台在短短7个小时内损失140余万元,莫某某一人在其期间就盗窃走了7万多元。
❷
商家被钻漏洞薅羊毛?
还是主动式“漏洞营销”?
2017年,肯德基APP出现bug,只要用户将账号的生日改为“20160828”,即可获赠一张六人全家桶半价券。这个bug一经传出,吸引众多人下载注册,并在一夜之间将肯德基APP刷进了iOS热门APP排行榜的前50名。
百度云的支付系统也曾在2013年6月出现过bug,只需要0.1元就可以购买原价近百元的会员服务,引发抢购,就在几天后,百度宣布百度云用户量突破7千万,且正以每天20万的速度增长。
今年1月20日凌晨,拼多多出现了“100元无门槛券随便领,羊毛党一晚薅掉2个亿”的大漏洞。有微博大V事后复盘称,拼多多一夜交易额达到338亿元,其中200多亿都是话费充值。虽然不是拼多多有意为之,但也达到了相同的效果。
随着电商造节越来越多,电商漏洞无形之中也在增加,催生了一群“羊毛党”,他们通过找漏洞薅羊毛而生。
过去的几年间,羊毛党已经发展成为一只庞大的力量,分工也逐渐明确。网上还会有视频会专门介绍电商的节点、薅羊毛的注意事项、分析不同电商平台的竞争局面,手把手教用户操作。
拼多多创始人黄峥在接受媒体采访时曾说,“在中国互联网几十年历史中,黑产就像一个庞大的阴影,笼罩在所有试图通过营销手段获得用户的公司头上。”
根据阿里巴巴的一份安全年报显示,在各种互联网业务活动中,缺乏安全防控的红包、优惠券促销活动,会被“羊毛党”以机器、小号等各种手段抢到手,70%~80%的促销优惠会被“羊毛党”薅走。再以差价赚取利润。
虽然各大电商平台也试图通过各种手段反黑灰产,但是这是一个马拉松式的斗争。
用户赚了便宜,黑灰产赚了利润,商家有时也会睁一只眼闭一只眼,毕竟在双11这种赔本卖吆喝的时间段,也是赚到了眼球和销量。
黑灰产行业与商家、消费者的关系,就以这样一种畸形的默契长久存在着。
不过,漏洞营销这种“杀敌一千自损八百”的招数,还是少用为好。消费者看多了之后会觉得一切皆套路,最终结果只会适得其反。
*本文编自派代网,素材来自燃财经,未经许可不得转载,转载请留言获取授权。
推荐阅读
凉了!超4000万粉头部主播夫妇涉嫌700万诈骗案,粉丝被骗中招