屈臣氏網購結帳程式被破解,5 天遭詐近 300 萬元

作者 | 發布日期 2019 年 03 月 12 日 10:15 | 分類 app , 網路 , 資訊安全 follow us in feedly


屈臣氏網路商店遭離職員工破解結帳程式,兩嫌利用虛設帳號以新台幣零元網購商品轉賣牟利,5 天成功訂購 2 千多件商品,實際財損近 300 萬元,出貨商察覺有異報警逮人。

警政署刑事局 11 日舉行「偵破知名外商藥妝 App 遭利用網路漏洞、竄改商品價金案涉嫌刑法詐欺等罪」記者會,電信偵查大隊大隊長唐嘉仁表示,去年 12 月中接獲知名外商藥妝連鎖商店報案,指稱其網路商店購物 App 疑遭人篡改商品價金詐騙。

刑事局經報請新北地方法院檢察署指揮,偕同警政署保二總隊刑警大隊共同擴大偵辦。

根據警方調查發現,港商屈臣氏網路商店是在去年 12 月間發現提供客戶購物使用的 App 湧現多筆異常訂單,且結帳總額不符網站標示金額,疑被歹徒破解 App 購物車 API(應用程式介面)系統結帳漏洞,進而將商品結帳金額更改為零元後順利出貨。

由於廠商對高單價商品或大量出貨會特別稽核程序,這才發現食髓知味的犯嫌從低價美妝品轉購高單價的 Dyson 3C 商品而露餡,被出貨廠商發現才東窗事發。

廠商事後清查,犯嫌於去年 12 月初短短 5 天內,就成功訂購 146 筆訂單、逾 2 千件商品,合計總價超過 1,500 萬元;實際出貨商品損失金額則將近 300 萬元,也是屈臣氏首次遭竄改價金詐騙商品的案件。

專案小組獲報後以網路 IP 進行追查,循線查獲位於新北市的 36 歲利女和 27 歲謝男涉有重嫌,其中謝男還曾於屈臣氏擔任過門市美妝師,兩人平時以網拍為業且熟稔各種網路賣場機制,每次網購時都會嘗試尋找各賣場的漏洞機制。

利女和謝男去年 12 月初發現屈臣氏 App 購物車結帳程式出現資安漏洞,只要丟入特殊計價商品就會造成總計費用歸 0 的漏洞,便利用親友註冊人頭會員進行網購,收到貨物後再從自己架設的網路賣場低價轉售牟利。

全案詢後依涉嫌刑法對電腦機器詐欺罪,經解送新北地院後,謝男和利女各以 5 萬元及 3 萬元交保候傳;廠商購物程式漏洞雖已修正,但警方持續擴大追查有無其他共犯涉案。

(作者:黃麗芸;首圖來源:By Wing1990hk [CC BY 3.0], from Wikimedia Commons