Fw: [新聞] 鑽APP漏洞詐全聯!推薦會員200點...2高
※ [本文轉錄自 Gossiping 看板 #1VX_wt8Z ]
作者: xuein (黃金燒臘) 看板: Gossiping
標題: [新聞] 鑽APP漏洞詐全聯!推薦會員200點...2高
時間: Thu Oct 15 15:48:05 2020
ETtoday新聞雲
鑽APP漏洞詐全聯!推薦會員200點...2高職畢業生上千分身削150萬
https://cdn2.ettoday.net/images/5205/d5205867.jpg
▲警方查扣犯案用的電腦主機並逮捕兩名騙兌全聯點數的犯嫌,刑事局偵七大隊第二隊隊長郭有志說明案情。(圖/記者張君豪攝)
記者張君豪/台北報導 2020年10月15日 15:35
全聯福利中心推出「全聯行動會員」APP會員促銷,打著推薦新會員開通以及推薦新會員都可以獲得100點數,受推薦人可獲得2百點數,結果有兩名僅高職畢業的電腦自學者發現APP漏洞,透過駭客撰寫姓名、電話、生日產生器註冊1320個假會員帳號,以互相推薦方式賺取超過1500萬點數並上網兜售,騙得逾150萬元,警方逮捕兩名喜玩網路電腦遊戲並鑽全聯購物APP漏洞的賴姓、張姓男子。
https://cdn2.ettoday.net/images/5205/d5205862.jpg
▲警方查扣犯案用的電腦主機並逮捕兩名騙兌全聯點數的犯嫌。(圖/記者張君豪翻攝)
刑事局偵七大隊調查,發現全聯福利中心會員APP贈點活動,從2019年10月15日開辦供消費者下載吸引顧客上門消費,會員只要輸入姓名、電話、出生年月日,透過APP發送手機認證簡訊就可開通。
全聯福利中心賣場會員消費時,就只要出示手機APP就會有點數回饋,而消費者第一次開通之會員會有100點數,如果再以推薦碼推薦朋友加入會員,推薦人可以獲取100點數,受推薦人可以獲取200點數,點數可進行購物消費,約10點可折抵1元。
https://cdn2.ettoday.net/images/5205/d5205865.jpg
▲警方查扣犯案用的電腦主機並逮捕兩名騙兌全聯點數的犯嫌。(圖/記者張君豪翻攝)
全聯福利中心網管人員發現,一名在2020年8月中旬登錄的黃姓會員(假帳號)約在短短一個月內獲得1320個虛假會員帳號推薦獲得點數,這些假帳號相互推薦獲得點數後,網管人員發現最後點數都匯回黃姓會員帳號之下,導致黃姓會員帳號獲利超過1500萬點,事後並透過蝦皮在網路上拍賣,陸續獲利逾150萬元。
案件經全聯福利中心網管、法務人員稽核發現後,今年9月向刑事局偵七大隊具狀提告,警方查詢該假帳號網路登錄資料,確定家住桃園的賴姓男子(29歲、詐欺、妨害電腦)、新北市土城的張姓男子(25歲)利用假帳號冒領全聯購物點數,10月12日約談兩人到案說明。
刑事局偵七大隊聯手科技研發科、桃園市警局刑大偵一隊執行搜索,查獲並於2嫌住處查扣行動電話3支、電腦4台、隨身碟11支、電腦硬碟47片等物,初步估計該公司遭詐之點數超過1500萬點,市價超過150萬元。
兩嫌落網後,辯稱不知道創設帳號、相互推薦賺點數是違法行為,自稱喜歡玩網路遊戲認識,以拍賣遊戲虛擬寶物維生,幕後並有駭客幫忙撰寫創設會員的巨集程式,藉此大賺全聯點數,並透過蝦皮網拍,以市價8折方式兜售點數,檢警認為兩人涉及妨害電腦使用、詐欺等罪嫌函送桃園地檢署偵辦。
https://www.ettoday.net/news/20201015/1832218.htm
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.137.119.102 (臺灣)
※ 文章網址: https://www.ptt.cc/Gossiping/M.1602748087.A.223
人才
這算是企業要自己的問題吧!可以取消,可以做減免,但
是抓人有點怪
奇怪 難道今天一個人家裡忘了關門鎖門,你就可以隨
意進去拿東西嗎?然後怪他自己忘了鎖門?
這不是鎖門問題吧....
相信我 版上的人真要寫 沒問題的 主要是這就很明顯你
會搞到出事 還是刑事 正常在過生活的人沒這麼閒
你的系統有漏洞 如果你是做漏洞測試因回報而被告還
有的講 你跑去牟利 全聯的法務會放過你我覺得他們才
失職
全聯的癥結在於點數可以送給其他帳戶
搜索票如果有照程序請的下來 想必真的蠻有問題的吧
這就看法律專業的人士在這案怎麼攻防
設計爛惱羞
認真說,這個應該要不構成犯罪才對
笑死,真的很像刷首抽
法官會不會判刑還難講,註冊不實資料謀利跟詐欺不完全
是等號,至於妨害電腦使用???又不是竄改數據…
刷首抽 訪客就可以刷了吧 連帳號都不用綁@@
這個完全是正常使用,純粹是規則漏洞,跟卡稱的做法一樣
這一定不會判
漏洞歸漏洞 用假資料騙回饋就是違法
用假資料註冊沒事 但是用假資料獲取回饋有事
全x自己的工程師早就刷點數刷爽爽了吧,身分驗證都沒
看起來註冊就不用實名啊,那註冊1300個帳號為什麼不行?
姓名、電話、生日亂寫自己不做驗證,看起來又沒有需要身
分證
真天真 這樣就想鑽漏洞獲利
一堆老闆平常不重視資安的結果就是這樣
一堆人以為這沒事到底是法治觀念有多差......
人力駭客?
簡訊驗證又沒有屁用 線上收簡訊就好啦 要多少就多少
這感覺是全聯的設計自己沒想好,出包沒辦法只好告
不誠實手法講難聽就道德問題, 扯到錢才可能踩到政府法規
智障pm亂設計吧
全聯點數可以賣?
全聯好像找香港公司寫的