屈臣氏APP漏洞 離職男狂買1500萬「通通0元」

網拍業者利用屈臣氏藥妝網購APP漏洞,將購物車結帳金額改為零,詐騙廠商出貨,再低價販售獲利。屈臣氏去年底發現提供客戶購物的手機應用程式,多筆異常訂單,且結帳不符合網站標示金額,疑似遭歹徒利用購物車的應用程式介面的系統漏洞,破解結帳功能,並將商品結帳金額更改為0元順利出貨,期間更發現歹徒貪心地利用類似手法企圖以0元方式來嘗試購買高單價日本吸塵器商品失敗,最後遭出貨廠商發現才東窗事發。

屈臣氏事後清查,已被成功訂購2000多筆商品(估算約新台幣1500百餘萬元),實際出貨商品損失金額超過200萬元。這是屈臣氏首次出現遭竄改價金詐騙商品案。

警方在嫌犯住處查扣大量美妝贓物,猶如藥妝店的倉庫一樣,品項琳瑯滿目。(胡欣男翻攝)
警方在嫌犯住處查扣大量美妝贓物,猶如藥妝店的倉庫一樣,品項琳瑯滿目。(胡欣男翻攝)

刑事局電偵大隊追查,循線查獲27歲謝姓男子、36歲利姓女子涉案,兩人平時以網拍商品為主業,熟稔各種網路賣場機制,因此每次上網購物都會嘗試尋找各賣場的漏洞機制。去年12月初,曾是屈臣氏倉儲員工的謝男,與利女使用手機操作屈臣氏APP購物車,大肆蒐購各種商品,以0元結帳,再上網轉賣。

兩人犯案第6天,屈臣氏接獲供應商反映,指有民眾一次購買數十件高單價吸塵器,因商品量太大覺得有異攔下,屈臣氏檢查,驚覺系統漏洞,趕緊修補並報案。

嫌犯利用網購APP程式漏洞,怎麼買都顯示0元。(胡欣男翻攝)
嫌犯利用網購APP程式漏洞,怎麼買都顯示0元。(胡欣男翻攝)

刑事局日前在新北市板橋區拘提謝、利,他們坦誠,因發現屈臣氏網站系統出現資安漏洞,即購物車結帳金額程式邏輯錯誤,會產生總計費用歸零漏洞,故由謝嫌利用人頭電話註冊該手機應用程式,每天以0元價格大肆購買各種美妝商品,然後在自己架設的網路賣場低價轉販售牟利。

警方搜索扣他們詐欺網購取得的商品共30箱,包括127種美妝商品,總計2300多件,訊後依詐欺罪移送,兩人分別3、5萬交保,警方目前針對電腦漏洞部分,擴大追查有無其他駭客共犯。

#商品 #屈臣氏 #漏洞 #結帳 #金額