優惠券、折扣、滿減,在網絡時代,薅羊毛已經成為一種時髦的技能,消費者熟悉規則便可拿到“BUG低價”,但這同時也為黑客創造了利用漏洞牟利的機會。


“充10元能抵1000?!薄皟扇税l現抵用券漏洞,瘋狂薅羊毛獲利 770 余萬?!薄袄玫蔚纹脚_漏洞刷單非法獲利300多萬?!薄愃瓢讣医恢?。


“1塊9盜刷54萬?!苯?,這則消息一出便引起廣泛關注,這正是黑客通過攻擊巴奴火鍋網絡系統的違法充值所得。


9月28日,巴奴回應新京報貝殼財經記者稱,他們會以損失金額1:1的形式補償消費者相應的儲值卡,截至目前,登記過的顧客已全部補償完畢,補償金額24萬余元,總計10余人。相對小額的損失可在門店處理。


巴奴負責人表示,這次案件為他們敲響了警鐘,“以前以為這種事情只發生在互聯網企業,沒想到還會發生在餐飲行業?!笔掳l后,巴奴對系統做了維護升級。


目前,案件還在調查中,上述負責人稱,“可能會涉及一個連鎖的犯罪產業,所以還要等警方偵破?!?/p>


北京京師律師事務所律師趙荔為記者分析此類案件指出,這就相當于是ATM套現的變形,“只不過柜員機是以實體的形式表現,而網絡是以軟件的形式表現?!?/p>


其指出,這種套現行為很有可能被定義為盜竊罪,但也有法律人士認為,應該定義為詐騙罪,因為利用了欺詐的方式,騙過了APP軟件。依據北京的標準,盜竊罪或詐騙罪,高額均可判10年以上。


此外,趙荔還指出,“即便是自用不轉賣,金額超過2000元也會涉嫌犯罪?!?/p>



儲值卡遭黑客攻擊


巴奴火鍋以損失金額1:1補償消費者合計24萬元


近日,有多位消費者投訴,其在二手平臺8折買來的巴奴火鍋儲值卡被當成非法卡凍結,無法使用。9月8日,巴奴發布聲明稱情況屬實,但凍結的原因是該批次的卡為違法充值。


聲明顯示,巴奴在20周年活動時,推出購1000送100,購2000送200的充值活動,優惠力度大抵和9折相當,但是該充值系統被黑客攻破,只需花費1分錢就可充值1000元-4000元面值不等的充值卡。黑客利用BUG,購買多張充值卡,并放到二手平臺以8折的價格售賣,總涉及儲蓄卡金額達55萬余元,實際花費只有1.9元。


本次總共涉及消費者27人,有消費者花費了上萬元購買該儲值卡,最終被凍結造成損失。對此,巴奴聲明,將對消費者的損失以儲值卡的形式全額補助。


9月28日,巴奴回應新京報貝殼財經記者稱,他們會以損失金額1:1的形式補償消費者相應的儲值卡,截至目前,登記過的顧客已全部補償完畢,補償金額24萬余元,總計10余人。相對小額的損失可在門店處理。


巴奴負責人表示,這次案件為他們敲響了警鐘,“以前以為這種事情只發生在互聯網企業,沒想到還會發生在餐飲行業?!笔掳l后,巴奴對系統做了維護升級。


目前,案件還在調查中,上述負責人稱,“可能會涉及一個連鎖的犯罪產業,所以還要等警方偵破?!?/p>


至于巴奴火鍋為啥會被入侵?“黑客”入侵難度有多大?有程序員對記者表示,“如果一個公司安全部門實力足夠大,是可以避免市面上絕大部分攻擊的,最多無非就是服務器癱瘓,影響用戶和業務。巴奴火鍋這個事件中暴露出的漏洞,要么是企業內部人員知曉透露出去,要么就是安全防護級別不夠,黑客會通過各種大量的測試進行攻擊,直到繞過權限或者防火墻,實現入侵。難度大不大得看這個系統防護做得如何了?!?/p>


對于漏洞修復問題,該程序員表示“并不難”,“既然知道是充值出的問題,可以查看黑客進行非法操作時會留下的日志信息,定向進行修復即可?!?/p>


網絡薅羊毛成牟利手段


平臺漏洞、黑客攻擊、團隊作戰


實際上,利用網絡漏洞牟利的事件近年來頻有發生,依賴網絡的互聯網企業更是重災區。


共享單車就是一個典型的案例。合肥一市民趙敏(化名)日前接受新京報貝殼財經記者采訪表示,“我朋友曾經發現過摩拜單車的漏洞,充值10元能抵1000元。朋友也給我充值后,因為騎車不太多,用了兩三年多,儲值卡里的錢至今還沒用完?!?/p>


值得一提的是,上述案例以及巴奴火鍋此次的損失還只是有限金額的儲值卡上,而共享單車賬戶通常會綁定用戶的支付寶、微信、銀行卡等信息,這些一旦被攻破,損失更大。


媒體曾報道,在2017年的國際安全極客大賽現場,一名黑客僅用1分鐘就破解了評委手機上的4款共享單車APP,輕松提取了評委的歷史騎行路徑、騎行時間、GPS定位、賬戶余額和注冊賬戶信息等在內的個人信息,掌握這些信息后,可以順利以被黑的身份租借騎行共享單車,而這整個過程評委沒有任何察覺。


賽后,該黑客表示,其用了一個月的時間看了十幾款共享單車,這種情況在共享單車APP上非常普遍,目前只是演示了4款。


據中國法院網官網披露的信息,2017年,深圳的楊某和吳某也曾利用共享單車的系統漏洞,獲取修改用戶的個人信息,將使用過該單車的用戶押金、余額轉移到自己賬戶,僅僅兩天時間,兩個人盜取了34個用戶賬戶的資金共計兩萬余元人民幣。


隨著互聯網的發展,薅羊毛的門檻越來越低,不再需要專業的編程技能,一旦抓住平臺漏洞,人人都能薅羊毛。


裁判文書網同樣披露過類似的案例,2018年4月,江蘇一大學生徐某,在肯德基點餐的時候,發現了微信客戶端點餐和APP點餐數據不同步的漏洞,徐某利用該漏洞,在APP用套餐兌換券下單,再在微信上退款,便可分文不花獲取兌換券或一份套餐。徐某發現該漏洞后又把這個方法傳授給丁某等4名同學,后來五人聯合做起了副業,通過線上交易平臺售賣低價套餐,從中獲利。最終造成肯德基母公司百勝集團20萬余元的損失,徐某五人則因犯詐騙罪、傳授犯罪方法罪被判處有期徒刑兩年六個月至一年三個月不等,并處罰金。


容易破解的系統、四處可見的漏洞、足夠劃算的優惠……有需求就會有市場,在這樣的環境下,薅羊毛漸漸由自嗨走向產業化。前不久,廣東江門破獲了一起利用滴滴平臺漏洞刷單詐騙案,詐騙金額達300多萬。


根據廣東省人民檢察院公開的內容顯示,被告人王某在2017年就成立工作室,還設置了人力、文員、項目組等,招聘多人團隊操作滴滴刷單,虛假注冊滴滴司機、乘客賬號,進行虛擬跑單,并按照“短單”“繞路”“長單”等方式,增加訂單總金額,然后通過客戶投訴、國際卡預付等方式騙取滴滴公司先行墊付的訂單金額到虛假的司機賬戶中。


值得注意的是,這套操作中使用的都是通過特殊渠道購買的真人身份信息,包括身份證號、手機號碼、國際信用卡、行駛證、支付寶賬號等,甚至通過特殊手段以60元每個的價格完成了刷臉認證。此案前前后后的涉案人員達10余人,其中有10人因詐騙罪被判有期徒刑十一年至十二年。



ATM套現的變形?


律師:高額可判10年以上,自用不轉賣超2000元也會涉嫌犯罪


在北京京師律師事務所律師趙荔看來,現如今利用網絡APP漏洞套現和10幾年前利用自動柜員機漏洞套現是相同的道理,“只不過柜員機是以實體的形式表現,而網絡是以軟件的形式表現?!?/p>


趙荔表示,這種套現行為很有可能被定義為盜竊罪,“因為是以非法占有為目的,采用了秘密的方式竊取了他人財物?!钡灿蟹扇耸空J為,應該定義為詐騙罪,因為利用了欺詐的方式,騙過了APP軟件?!霸p騙罪相較于盜竊罪要輕一些”,趙荔說。


根據北京的標準,盜竊罪立案標準為2000元,量刑為3年以下,盜竊6萬以上,則面臨3年以上有期徒刑,如果盜竊超過40萬,將面臨10年以上有期徒刑或無期徒刑。而詐騙案從立案標準上就比盜竊案高,為5000元,量刑為3年以下,詐騙10萬元以上,3年以上有期徒刑,詐騙50萬元以上,10年以上有期徒刑或者無期徒刑。


有網友稱,如果不轉賣只是自己薅羊毛可能也不會被抓。對于這種說法,趙荔表示,即便不轉賣,如果消費金額超過2000元,也有可能涉嫌犯罪,犯罪金額以實際消費金額或者商家實際損失的金額為標準。


在巴奴事件中,不少消費者在不知情的情況下受騙,而巴奴方也表示自己是受害者。


自世界變得電子化以來,借助網絡漏洞詐騙的事情就頻有發生,事發之后,不少企業會以系統被攻破來逃脫責任喊冤,但誰來為消費者買單?


對此,趙荔表示,如果消費者是善意的,比如只是9折和8折的區別,那么商家有責任承擔消費者的損失。但如果消費者購買場所或平臺為非正規場所或平臺,以明顯低于市場價格購買,可能就會推定消費者的購買是惡意的,不受法律保護?!爱斎?,如果能夠找到惡意售卡的人的話,商家可以向其追償這些損失?!?/p>


巴奴負責人也告訴記者,他們在賠償消費者的同時,不會放棄向黑客索賠。


事實上,保證消費者的信息和財產安全本就是企業的責任,但大多數平臺事發后逃避責任,采取事發后打補丁式的升級系統辦法,并不能讓事情從根源上得到解決。


趙荔也提醒消費者如果遇到這種情況,通過法律途徑維護自己的合法權益,“一定要及時保留證據,比如訂購時的截圖,交易時的截圖這些證據一定要保留好,以利于后期維權使用?!?/p>


新京報貝殼財經記者 宋美璐 編輯 陳莉 校對 盧茜