作者chuo11 (KKK)
看板Soft_Job
標題Fw: [新聞] 鑽APP漏洞詐全聯!推薦會員200點...2高
時間Thu Oct 15 20:28:27 2020
※ [本文轉錄自 Gossiping 看板 #1VX_wt8Z ]
作者: xuein (黃金燒臘) 看板: Gossiping
標題: [新聞] 鑽APP漏洞詐全聯!推薦會員200點...2高
時間: Thu Oct 15 15:48:05 2020
ETtoday新聞雲
鑽APP漏洞詐全聯!推薦會員200點...2高職畢業生上千分身削150萬
https://cdn2.ettoday.net/images/5205/d5205867.jpg
▲警方查扣犯案用的電腦主機並逮捕兩名騙兌全聯點數的犯嫌,刑事局偵七大隊第二隊隊長
郭有志說明案情。(圖/記者張君豪攝)
記者
張君豪/
台北報導
2020年10月15日 15:35
全聯福利中心推出「全聯行動會員」APP會員促銷,打著推薦新會員開通以及推薦新會員都
可以獲得100點數,受推薦人可獲得2百點數,結果有兩名僅高職畢業的電腦自學者發現APP
漏洞,
透過駭客撰寫姓名、電話、生日產生器註冊1320個假會員帳號,以互相推薦方式賺取
超過1500萬點數並上網兜售,騙得逾150萬元,警方逮捕兩名喜玩網路電腦遊戲並鑽全聯購
物APP漏洞的賴姓、張姓男子。
https://cdn2.ettoday.net/images/5205/d5205862.jpg
▲警方查扣犯案用的電腦主機並逮捕兩名騙兌全聯點數的犯嫌。(圖/記者張君豪翻攝)
刑事局偵七大隊調查,發現全聯福利中心會員APP贈點活動,從2019年10月15日開辦供消費
者下載吸引顧客上門消費,會員只要輸入姓名、電話、出生年月日,透過APP發送手機認證
簡訊就可開通。
全聯福利中心賣場會員消費時,就只要出示手機APP就會有點數回饋,而消費者第一次開通
之會員會有100點數,如果再以推薦碼推薦朋友加入會員,推薦人可以獲取100點數,受推薦
人可以獲取200點數,點數可進行購物消費,約10點可折抵1元。
https://cdn2.ettoday.net/images/5205/d5205865.jpg
▲警方查扣犯案用的電腦主機並逮捕兩名騙兌全聯點數的犯嫌。(圖/記者張君豪翻攝)
全聯福利中心網管人員發現,一名在2020年8月中旬登錄的黃姓會員(假帳號)約在短短一
個月內獲得1320個虛假會員帳號推薦獲得點數,這些假帳號相互推薦獲得點數後,網管人員
發現最後點數都匯回黃姓會員帳號之下,導致黃姓會員帳號獲利超過1500萬點,事後並透過
蝦皮在網路上拍賣,陸續獲利逾150萬元。
案件經全聯福利中心網管、法務人員稽核發現後,今年9月向刑事局偵七大隊具狀提告,警
方查詢該假帳號網路登錄資料,確定家住桃園的賴姓男子(29歲、詐欺、妨害電腦)、新北
市土城的張姓男子(25歲)利用假帳號冒領全聯購物點數,10月12日約談兩人到案說明。
刑事局偵七大隊聯手科技研發科、桃園市警局刑大偵一隊執行搜索,查獲並於2嫌住處查扣
行動電話3支、電腦4台、隨身碟11支、電腦硬碟47片等物,初步估計該公司遭詐之點數超過
1500萬點,市價超過150萬元。
兩嫌落網後,辯稱不知道創設帳號、相互推薦賺點數是違法行為,自稱喜歡玩網路遊戲認識
,以拍賣遊戲虛擬寶物維生,幕後並有駭客幫忙撰寫創設會員的巨集程式,藉此大賺全聯點
數,並透過蝦皮網拍,以市價8折方式兜售點數,檢警認為兩人涉及妨害電腦使用、詐欺等
罪嫌函送桃園地檢署偵辦。
https://www.ettoday.net/news/20201015/1832218.htm
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.137.119.102 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Gossiping/M.1602748087.A.223.html
1F:推 jeff0025: 8+9? 10/15 15:48
2F:推 solsol: 新卡神? 10/15 15:49
3F:噓 syldsk: 自己審核太爛怪人家? 10/15 15:49
4F:→ kingtama: 寫巨集需要駭客嗎 10/15 15:49
5F:推 tanby: 可以加入民進黨了 新一代卡神 10/15 15:50
6F:推 bee0316: 很有能力 10/15 15:50
7F:推 TllDA: 原來這樣算詐騙 10/15 15:50
8F:推 STi2011: 高職生....150萬.....人才阿 10/15 15:50
9F:推 a0913: 自己不加手機號碼驗證回傳 結果手機亂填就會過 這刑法XDDD 10/15 15:50
10F:→ ryhma: 設備好爛- - 10/15 15:50
11F:→ fallheart: 所以不要集中就不會發現嗎 10/15 15:51
12F:→ duo0518: 用假資料騙人家錢不是詐欺是啥? 10/15 15:51
13F:推 ifyoutry: 起碼看起來不會那麼扯吧,一次作業才幾百點搞到上千萬點 10/15 15:52
14F:推 hihimen: 用假資料註冊叫詐欺? 10/15 15:53
15F:推 handfoxx: 還架server 散熱應該很差 10/15 15:53
16F:推 Gossiking: 手機不用驗證? 10/15 15:55
17F:推 Tencc: 用假資料註冊不行喔 10/15 15:56
18F:噓 Coffier: 自己工程師雞腿請的被鑽漏洞怪誰? 10/15 15:56
19F:推 Skabo: 系統很好騙很蠢你去騙了還是詐欺阿 難道失智弱勢的人很好騙 10/15 15:56
20F:→ Skabo: 你騙了就無罪嗎?? 有這種邏輯還滿詭異的 10/15 15:56
21F:推 sr20detll: 給真個資被賣掉都查不到 嘻嘻 10/15 15:56
22F:噓 cwmd86124: ptt註冊假資料發廢文洗錢的也要抓去關嗎? 10/15 15:56
23F:推 botnet: 只能怪設計者沒想到 10/15 15:56
24F:→ tui74101: 自己不驗證怪人家鑽漏洞 10/15 15:57
25F:→ aqb624429: 註冊都通過了還叫「假帳號」嗎? 10/15 15:59
26F:推 lpbrother: 這算漏洞嗎,寫的時候就沒有設計要綁手機驗證 10/15 16:00
27F:→ ChungLi5566: 用假資料獲取利益 符合詐欺要件沒錯 10/15 16:01
28F:→ ChungLi5566: 如果只用假資料註冊 沒做任何事 沒受害者 沒事 10/15 16:01
29F:推 LAKobeBryant: 這個太好抓了 10/15 16:01
30F:推 xvhak: 真是人才呀 這感覺真的是在線上遊戲漏洞洗寶物的人做的事 10/15 16:02
31F:推 ter2788: 是我沒理解對嗎? 10/15 16:02
32F:→ ter2788: 1500萬/1320=11363 10/15 16:03
33F:→ ter2788: 等於辦一個帳號可以賺這麼多點? 10/15 16:04
34F:→ linzero: 全聯APP要手機認證,該嫌是透過手機門號認證服務商弄的 10/15 16:05
35F:→ linzero: 1320是被察覺有問題的數據,是1320帳號把點數轉到同一個 10/15 16:05
36F:→ linzero: 帳號。兩嫌創的帳號應該不只1320 10/15 16:06
37F:推 sushi11: 這跟刷首抽一樣,自己有漏洞怪人? 10/15 16:07
38F:推 StepZero2One: 寫個腳本都能自稱駭客了 10/15 16:07
39F:噓 UbaldJimenez: 這能辦????? 10/15 16:10
40F:推 season2011: 蟑螂死好 10/15 16:11
41F:→ snow3804: 自己訂的爛規則被鑽漏洞 10/15 16:11
42F:→ widec: 我看到最後,只有偽造文書 10/15 16:11
43F:→ KirinP: 駭客定義怎麼越來越低== 10/15 16:12
44F:→ KirinP: 規則漏洞又不叫程式漏洞 這叫生活駭客好嗎 10/15 16:13
45F:→ PPAPwww: 詐騙???? 10/15 16:13
46F:→ seal0903: 這是類推詐騙吧,應該算漏洞 10/15 16:14
47F:推 raygod: 這詐騙等級太low 10/15 16:15
48F:→ sobiNOva: 卡神高職版 10/15 16:16
49F:推 coffee112: 琪姊 快救他們 10/15 16:19
50F:推 error123: 這那叫詐騙?合法漏洞 10/15 16:19
51F:→ OPisgood: 這樣叫詐騙? 10/15 16:20
52F:→ x007: 自己沒把關好 10/15 16:23
53F:噓 CDing: 輸不起喔 垃圾公司 10/15 16:24
54F:→ kevin0733: 電腦硬碟47片 裡面是裝什麼東西要這麼大 10/15 16:28
55F:推 xzcb2008: 好險XDDD 10/15 16:28
56F:推 xzcb2008: 以前中信不是還有拿紅茶破萬杯的我記得 10/15 16:31
57F:→ ptt0812: 都說漏洞了 哪裡違法 10/15 16:35
58F:推 morgan13: 真是個人才! 歡迎加入蟑螂團隊 10/15 16:35
59F:推 mshoho: 算詐騙嗎...阿不就是漏洞而已 10/15 16:42
60F:推 xup946044: 你拿你的我拿我的犯法嗎 10/15 16:50
61F:推 dsfrf: 笑死,原來是新卡神阿。 10/15 16:56
62F:噓 waterice0902: 全聯自己漏洞哪算詐騙啊 10/15 17:03
63F:推 xhung: 福利熊不審核就發推薦獎勵 也太扯了吧 10/15 17:33
64F:推 cgser: 卡神、1450表示合法 10/15 17:34
65F:推 keyman2: 金融業:推薦人數竟然敢不設上限,新來的齁 10/15 17:40
66F:噓 ks454: 全聯自己問題,好意思 10/15 18:33
67F:→ pttccbbs: 那要手機號碼驗證,哪有那麼多手機號碼 10/15 18:58
68F:推 loveapple33: 民進黨馬上吸收? 10/15 19:04
69F:推 xen0317: 去支援收銀 10/15 19:14
70F:推 aa714564: 這不是偵九隊的事嗎? 10/15 20:10
71F:推 std910866e: 蟑螂新星 10/15 20:24
※ 發信站: 批踢踢實業坊(ptt.cc)
※ 轉錄者: chuo11 (61.231.55.62 臺灣), 10/15/2020 20:28:27
※ 編輯: chuo11 (61.231.55.62 臺灣), 10/15/2020 20:34:43
72F:推 neo5277: 人才 10/15 21:34
73F:推 rereterry: 這算是企業要自己的問題吧!可以取消,可以做減免,但 10/15 21:38
74F:→ rereterry: 是抓人有點怪 10/15 21:38
75F:推 awenracious: 奇怪 難道今天一個人家裡忘了關門鎖門,你就可以隨 10/15 21:59
76F:→ awenracious: 意進去拿東西嗎?然後怪他自己忘了鎖門? 10/15 21:59
77F:推 neo5277: 這不是鎖門問題吧.... 10/15 22:21
78F:→ guanting886: 相信我 版上的人真要寫 沒問題的 主要是這就很明顯你 10/15 22:29
79F:→ guanting886: 會搞到出事 還是刑事 正常在過生活的人沒這麼閒 10/15 22:29
80F:→ guanting886: 你的系統有漏洞 如果你是做漏洞測試因回報而被告還 10/15 22:35
81F:→ guanting886: 有的講 你跑去牟利 全聯的法務會放過你我覺得他們才 10/15 22:35
82F:→ guanting886: 失職 10/15 22:35
83F:推 lain2002: 全聯的癥結在於點數可以送給其他帳戶 10/15 22:42
84F:→ guanting886: 搜索票如果有照程序請的下來 想必真的蠻有問題的吧 10/15 22:55
85F:→ guanting886: 這就看法律專業的人士在這案怎麼攻防 10/15 22:55
86F:噓 acoo: 設計爛惱羞 10/15 23:02
87F:推 thumbe31949: 認真說,這個應該要不構成犯罪才對 10/15 23:06
88F:推 ko330: 笑死,真的很像刷首抽 10/15 23:56
89F:→ ttsmarco: 法官會不會判刑還難講,註冊不實資料謀利跟詐欺不完全 10/16 00:09
90F:→ ttsmarco: 是等號,至於妨害電腦使用???又不是竄改數據… 10/16 00:09
91F:→ guanting886: 刷首抽 訪客就可以刷了吧 連帳號都不用綁@@ 10/16 00:14
92F:推 jack0204: 這個完全是正常使用,純粹是規則漏洞,跟卡稱的做法一樣 10/16 00:32
93F:推 new122851: 這一定不會判 10/16 00:50
94F:推 ChungLi5566: 漏洞歸漏洞 用假資料騙回饋就是違法 10/16 07:46
95F:→ ChungLi5566: 用假資料註冊沒事 但是用假資料獲取回饋有事 10/16 07:47
96F:推 Bujo: 全x自己的工程師早就刷點數刷爽爽了吧,身分驗證都沒 10/16 09:46
97F:推 dong531: 看起來註冊就不用實名啊,那註冊1300個帳號為什麼不行? 10/16 14:24
98F:→ dong531: 姓名、電話、生日亂寫自己不做驗證,看起來又沒有需要身 10/16 14:24
99F:→ dong531: 分證 10/16 14:24
100F:→ shooter555: 真天真 這樣就想鑽漏洞獲利 10/16 15:26
101F:噓 expury: 一堆老闆平常不重視資安的結果就是這樣 10/16 15:28
102F:推 forever9801: 一堆人以為這沒事到底是法治觀念有多差...... 10/16 15:51
103F:推 stupid0319: 人力駭客? 10/16 18:11
104F:→ et69523820: 簡訊驗證又沒有屁用 線上收簡訊就好啦 要多少就多少 10/17 06:17
105F:推 kyoe: 這感覺是全聯的設計自己沒想好,出包沒辦法只好告 10/17 12:10
106F:推 atobela: 不誠實手法講難聽就道德問題, 扯到錢才可能踩到政府法規 10/17 20:46
107F:噓 daddy29: 智障pm亂設計吧 10/18 00:45
108F:推 chencjj: 全聯點數可以賣? 10/22 21:29
109F:推 ppc: 全聯好像找香港公司寫的 10/23 23:53