前員工搞鬼 屈臣氏App漏洞 1500萬商品都0元

出版時間:2019/03/12

【塗豐駿╱台北報導】隨便買攏免錢?一名知名藥妝商屈臣氏的離職員工,利用「工程師模式」App版本,進入屈臣氏購物網站頁面,大肆以0元下單購買2000餘件商品,直到該員工貪得無厭的一次性購買數十台高價的Dyson吸塵器,屈臣氏才發現有異,清算總共146筆訂單、總市價高達1500萬元,全部都以0元購買,連忙報警追查,日前刑事局逮捕該員工及同夥,訊後依違反詐欺、妨害電腦使用等罪嫌送辦。

警方到謝嫌住處搜索,現場猶如小型藥妝賣場。翻攝畫面
警方到謝嫌住處搜索,現場猶如小型藥妝賣場。翻攝畫面

警方調查,嫌犯謝姓男子(28歲)曾在屈臣氏擔任物流工作,離職後與利姓女子(36歲)經營網拍,去年12月5日至10日間,謝嫌利用多支親友的手機申請帳號,使用屈臣氏購物App「工程師模式」購買大批商品,再經物流送到謝男位於新北市板橋的家中,之後謝男再將商品放在自己的網店及各大網路賣場低價販售,做起無本生意。

賊窟猶如美妝賣場

刑事局表示,去年12月屈臣氏發現有買家用App購買數十台Dyson吸塵器,清查過去5天竟有2000多件商品全都被以0元購買,且廠商已出貨90筆訂單,損失近300萬元,警方追查後發現謝男涉有重嫌,到他板橋住處搜索,驚見他家中滿是0元買來的屈臣氏各式美妝商品,還用貨架分類囤放,猶如小型美妝賣場。
警方當場將謝嫌與同夥的利女逮捕,謝嫌供稱是無意間發現屈臣氏購物App有漏洞,但警方查扣其手機檢視後,驚見謝嫌使用的是屈臣氏「工程師模式」版本購物App,疑似是系統封閉測試時的版本,和一般民眾手機下載的購物App不同,由於權限較高,所以只要在購物車內加入某種特定商品,購物車內所有物品都會變成0元,且能順利完成訂單及出貨。
刑事局資安專家進一步調查,發現謝嫌是利用App購物車API(應用程式介面,Application Programming Interface)系統漏洞來破解結帳功能,並將商品結帳金額更改為0元後順利出貨。警訊後,謝男及利女被依《刑法》電腦機器詐欺罪、妨害電腦使用罪嫌送辦,經檢方複訊後各以5萬元及3萬元交保。

警方查扣大批藥妝用品。塗豐駿攝
警方查扣大批藥妝用品。塗豐駿攝

香港總部修補網站

昨屈臣氏發布聲明稿表示,案發後香港總公司已全面修補網站、App的漏洞,避免類似情事再度發生,現已進入司法調查程序,屈臣氏將全力配合警方調查,因該案仍在偵查中,不便透露案件細節。

利用網站漏洞狂購物案例

2019/01
被稱為「台灣駭客天才」的張啟元,發現高鐵購票系統有漏洞,買1張40元車票後辦理退票,再將20元退款竄改成20萬元,遭高鐵發現報警,被檢警約談
2019/01
李男利用PChome線上購物「儲值Pay」送加碼金活動,大買164筆商品達147萬餘元,再全數退貨,以賺加碼金,地院判李男賠償PChome提告討4.8萬餘元加碼金
2018/09
張啟元自稱找到Apple Pay漏洞,用1元購買總價1565萬5800元的500支iPhone 8 Plus和2支iPhone XS MAX
資料來源:《蘋果》資料室

本新聞文字、照片、影片專供蘋果「升級壹會員」閱覽,版權所有,禁止任何媒體、社群網站、論壇,在紙本或網路部分引用、改寫、轉貼分享,違者必究。

下載「蘋果新聞網APP



有話要說 投稿「即時論壇」

相關新聞

更多

《要聞》

新聞