支付寶貨款離奇丟失 淘寶交易規(guī)則現(xiàn)重大漏洞
近日,北京的張先生向中國(guó)質(zhì)檢網(wǎng)投訴中心講述了他的朋友在淘寶商城開的myjoy旗艦店遭遇的一件離奇事件。
以下是張先生的自述:
5月10日,朋友的淘寶商城myjoy旗艦店,一筆4000多元的貨款離奇的被劃走。先是淘寶商家的賬戶被黑客入侵,黑客再利用淘寶交易存在的漏洞成功將積分(在淘寶積分可以當(dāng)成錢使用)轉(zhuǎn)到自己的個(gè)人賬戶,造成淘寶商城店家的損失。
事情的經(jīng)過是這樣的,5月10號(hào)的凌晨?jī)牲c(diǎn)多,有一個(gè)淘寶買家在myjoy旗艦店,一口氣買了幾十件同一款的衣服。他是分四次付款的,總額為5108元。淘寶網(wǎng)對(duì)于淘寶商城的店鋪有嚴(yán)格的交易規(guī)定,買家支付完成后,貨款應(yīng)該直接匯入公司的支付寶,最后再通過申請(qǐng)?zhí)岈F(xiàn)匯到一個(gè)固定的公司銀行賬戶,不允許進(jìn)行買入交易或轉(zhuǎn)賬到其它賬戶??删驮谶@時(shí),一件離奇的事情發(fā)生了。由買家共計(jì)支付的5108元錢貨款,不僅沒有匯入朋友的賬戶。反而是朋友的支付寶賬戶,被神奇地扣走4370元到了買家的支付寶賬戶。店主查了一下,這筆錢匯入的賬戶并沒有提現(xiàn)到公司的銀行賬戶,而是到了這位買家的私人賬戶。使用的淘寶旺旺名稱為“開關(guān)機(jī)飛份”。
這到底是怎么回事呢?我?guī)е笥训囊蓡栕稍兞颂詫毦W(wǎng)的客服人員??头幕卮鹚闶菑氐装盐依椎沽???头〗阏f,有可能是公司機(jī)器上的病毒造成的??墒沁@根本不能說服我朋友。病毒或木馬程序只可能會(huì)盜號(hào),但不可能自動(dòng)修改衣服價(jià)格并拍下付款,然后再通過多重積分的形式把錢轉(zhuǎn)到自己的賬戶,病毒還沒有這么高的智商吧!一個(gè)如此大流量支付寶的系統(tǒng),就這么容易被病毒進(jìn)入并自動(dòng)修改價(jià)格?我不禁懷疑,那所謂的支付寶系統(tǒng),還有什么安全性可言。
排除掉病毒的可能性,我假設(shè)了以下兩種可能性:
1、淘寶的扣點(diǎn)行為造成的。
淘寶商城和淘寶網(wǎng)之間,是有協(xié)議的。淘寶商城一筆交易完成后,淘寶網(wǎng)會(huì)扣除掉一個(gè)協(xié)議好的百分點(diǎn)。但是這種可能性很快被我否決掉了。因?yàn)樘詫毦W(wǎng)扣點(diǎn),是在交易完成后,馬上就扣除了,不可能累計(jì)一次扣除。再說了,淘寶網(wǎng)也不可能安排專人,通過假借交易來完成扣點(diǎn)。
2、否決了淘寶扣點(diǎn)的可能性之后,我又做了一個(gè)大膽的猜測(cè)。是不是支付寶系統(tǒng)被人為地入侵,惡意的篡改了整個(gè)交易! 4000多塊錢或許并不算多,可是如果這是一筆上千萬金額的交易呢?這真的是太可怕了……
通過進(jìn)一步的深入分析和調(diào)查,我基本理清了這件事:
1、 黑客注冊(cè)新的旺旺號(hào)“開關(guān)機(jī)飛份”和支付寶賬號(hào)。
2、 黑客利用入侵商家的電腦或淘寶網(wǎng)系統(tǒng)的后臺(tái)(因?yàn)闊o法進(jìn)入淘寶內(nèi)部服務(wù)部進(jìn)行調(diào)查取證,只能預(yù)估存在這兩種情況的其中一種)得到淘寶商城店的主賬號(hào)密碼。
3、 黑客進(jìn)入我朋友的myjoy旗艦店的后臺(tái),將原來129的半身裙的價(jià)格修改為150元。并將黑客的旺旺號(hào)設(shè)置為店鋪的高級(jí)VIP享有9折的優(yōu)惠。
4、 黑客設(shè)置幾次拍衣服的返點(diǎn)比例為85%-99%,如果設(shè)置為99%的話,即買家如果拍100元的衣服,將會(huì)返還給買家價(jià)值99元的積分。
5、 黑客設(shè)置衣服參加活動(dòng)的返點(diǎn),比例同樣為85%-99%。
6、 因?yàn)樘詫毶系姆e分反點(diǎn)的規(guī)則是可以重復(fù)設(shè)置的,這就為黑客創(chuàng)造了可以利用的漏洞,通過雙重積分的方式使得拍下價(jià)值為150元的衣服并交易成功后,如果黑客設(shè)置為99%的雙重積分,買家可以得到297元價(jià)值的積分,這樣就直接獲利147元
通過黑客操作后,支付寶進(jìn)行積分返還的圖例:
1、第一筆460元,獲利344.96元
2、第二筆760元交易,獲利614.93元
3、第三筆1323元交易,獲利1167.57元
4、第四筆2565元交易,獲利2243.25元
非法獲得總計(jì)為 4370.71元
這個(gè)黑客開始很小心,第一筆只拍了460元進(jìn)行嘗試,確認(rèn)成功獲利后再一步步地加碼,直到我朋友的淘寶商城的店當(dāng)天的支付寶里的錢所剩無幾。
允許重復(fù)積分的規(guī)則對(duì)于淘寶商城賣家的安全交易形成非常大的隱患,因?yàn)樘詫毶系纳碳夷芰私獠⒍冒踩婪兜暮苌伲芏嗌碳业碾娔X極易被黑客控制并利用該規(guī)則進(jìn)行犯罪獲取非法收益。
為避免更多的商戶受到損失,我和朋友無數(shù)次的與淘寶網(wǎng)客服聯(lián)系,一次次撥打淘寶商城的熱線電話總是占線。因?yàn)樘詫毶坛堑臒峋€打不進(jìn)去沒有辦法,所以只有一次次撥打淘寶非商城客服請(qǐng)她們將問題及時(shí)反饋給淘寶商城的工作人員或技術(shù)人員,后來一名叫姓劉的專家客服意識(shí)到了問題的嚴(yán)重性,及時(shí)將問題反饋給了淘寶網(wǎng)的技術(shù)人員,第二天淘寶網(wǎng)的技術(shù)人員和我朋友進(jìn)行了溝通并確認(rèn)交易規(guī)則存在的缺陷,我朋友也希望他們能確保規(guī)則漏洞已經(jīng)得到改善并加強(qiáng)對(duì)淘寶網(wǎng)商家的安全防范意識(shí)宣傳。
另外提醒淘寶店的賣家平時(shí)做好電腦的安全工作,要經(jīng)常更換密碼,安裝好的殺毒軟件,將操作系統(tǒng)的補(bǔ)丁及時(shí)打上,關(guān)閉不使用的端口,不接收來路不明的文件,不上一些有木馬病毒的陌生網(wǎng)站,并注意及時(shí)將貨款進(jìn)行提現(xiàn)操作。
但接下來的問題是,我朋友的Myjoy旗艦店這樣的損失應(yīng)該由誰負(fù)責(zé)呢?淘寶商城是否應(yīng)該進(jìn)行賠付?如果黑客是通過跳板方式進(jìn)行操作,如何進(jìn)行取證并抓獲非法犯罪的人?
近日,北京的張先生向中國(guó)質(zhì)檢網(wǎng)投訴中心講述了他的朋友在淘寶商城開的myjoy旗艦店遭遇的一件離奇事件。
以下是張先生的自述:
5月10日,朋友的淘寶商城myjoy旗艦店,一筆4000多元的貨款離奇的被劃走。先是淘寶商家的賬戶被黑客入侵,黑客再利用淘寶交易存在的漏洞成功將積分(在淘寶積分可以當(dāng)成錢使用)轉(zhuǎn)到自己的個(gè)人賬戶,造成淘寶商城店家的損失。
事情的經(jīng)過是這樣的,5月10號(hào)的凌晨?jī)牲c(diǎn)多,有一個(gè)淘寶買家在myjoy旗艦店,一口氣買了幾十件同一款的衣服。他是分四次付款的,總額為5108元。淘寶網(wǎng)對(duì)于淘寶商城的店鋪有嚴(yán)格的交易規(guī)定,買家支付完成后,貨款應(yīng)該直接匯入公司的支付寶,最后再通過申請(qǐng)?zhí)岈F(xiàn)匯到一個(gè)固定的公司銀行賬戶,不允許進(jìn)行買入交易或轉(zhuǎn)賬到其它賬戶??删驮谶@時(shí),一件離奇的事情發(fā)生了。由買家共計(jì)支付的5108元錢貨款,不僅沒有匯入朋友的賬戶。反而是朋友的支付寶賬戶,被神奇地扣走4370元到了買家的支付寶賬戶。店主查了一下,這筆錢匯入的賬戶并沒有提現(xiàn)到公司的銀行賬戶,而是到了這位買家的私人賬戶。使用的淘寶旺旺名稱為“開關(guān)機(jī)飛份”。
這到底是怎么回事呢?我?guī)е笥训囊蓡栕稍兞颂詫毦W(wǎng)的客服人員??头幕卮鹚闶菑氐装盐依椎沽???头〗阏f,有可能是公司機(jī)器上的病毒造成的??墒沁@根本不能說服我朋友。病毒或木馬程序只可能會(huì)盜號(hào),但不可能自動(dòng)修改衣服價(jià)格并拍下付款,然后再通過多重積分的形式把錢轉(zhuǎn)到自己的賬戶,病毒還沒有這么高的智商吧!一個(gè)如此大流量支付寶的系統(tǒng),就這么容易被病毒進(jìn)入并自動(dòng)修改價(jià)格?我不禁懷疑,那所謂的支付寶系統(tǒng),還有什么安全性可言。
排除掉病毒的可能性,我假設(shè)了以下兩種可能性:
1、淘寶的扣點(diǎn)行為造成的。
淘寶商城和淘寶網(wǎng)之間,是有協(xié)議的。淘寶商城一筆交易完成后,淘寶網(wǎng)會(huì)扣除掉一個(gè)協(xié)議好的百分點(diǎn)。但是這種可能性很快被我否決掉了。因?yàn)樘詫毦W(wǎng)扣點(diǎn),是在交易完成后,馬上就扣除了,不可能累計(jì)一次扣除。再說了,淘寶網(wǎng)也不可能安排專人,通過假借交易來完成扣點(diǎn)。
2、否決了淘寶扣點(diǎn)的可能性之后,我又做了一個(gè)大膽的猜測(cè)。是不是支付寶系統(tǒng)被人為地入侵,惡意的篡改了整個(gè)交易! 4000多塊錢或許并不算多,可是如果這是一筆上千萬金額的交易呢?這真的是太可怕了……
通過進(jìn)一步的深入分析和調(diào)查,我基本理清了這件事:
1、 黑客注冊(cè)新的旺旺號(hào)“開關(guān)機(jī)飛份”和支付寶賬號(hào)。
2、 黑客利用入侵商家的電腦或淘寶網(wǎng)系統(tǒng)的后臺(tái)(因?yàn)闊o法進(jìn)入淘寶內(nèi)部服務(wù)部進(jìn)行調(diào)查取證,只能預(yù)估存在這兩種情況的其中一種)得到淘寶商城店的主賬號(hào)密碼。
3、 黑客進(jìn)入我朋友的myjoy旗艦店的后臺(tái),將原來129的半身裙的價(jià)格修改為150元。并將黑客的旺旺號(hào)設(shè)置為店鋪的高級(jí)VIP享有9折的優(yōu)惠。
4、 黑客設(shè)置幾次拍衣服的返點(diǎn)比例為85%-99%,如果設(shè)置為99%的話,即買家如果拍100元的衣服,將會(huì)返還給買家價(jià)值99元的積分。
5、 黑客設(shè)置衣服參加活動(dòng)的返點(diǎn),比例同樣為85%-99%。
6、 因?yàn)樘詫毶系姆e分反點(diǎn)的規(guī)則是可以重復(fù)設(shè)置的,這就為黑客創(chuàng)造了可以利用的漏洞,通過雙重積分的方式使得拍下價(jià)值為150元的衣服并交易成功后,如果黑客設(shè)置為99%的雙重積分,買家可以得到297元價(jià)值的積分,這樣就直接獲利147元
通過黑客操作后,支付寶進(jìn)行積分返還的圖例:
1、第一筆460元,獲利344.96元
2、第二筆760元交易,獲利614.93元
3、第三筆1323元交易,獲利1167.57元
4、第四筆2565元交易,獲利2243.25元
非法獲得總計(jì)為 4370.71元
這個(gè)黑客開始很小心,第一筆只拍了460元進(jìn)行嘗試,確認(rèn)成功獲利后再一步步地加碼,直到我朋友的淘寶商城的店當(dāng)天的支付寶里的錢所剩無幾。
允許重復(fù)積分的規(guī)則對(duì)于淘寶商城賣家的安全交易形成非常大的隱患,因?yàn)樘詫毶系纳碳夷芰私獠⒍冒踩婪兜暮苌伲芏嗌碳业碾娔X極易被黑客控制并利用該規(guī)則進(jìn)行犯罪獲取非法收益。
為避免更多的商戶受到損失,我和朋友無數(shù)次的與淘寶網(wǎng)客服聯(lián)系,一次次撥打淘寶商城的熱線電話總是占線。因?yàn)樘詫毶坛堑臒峋€打不進(jìn)去沒有辦法,所以只有一次次撥打淘寶非商城客服請(qǐng)她們將問題及時(shí)反饋給淘寶商城的工作人員或技術(shù)人員,后來一名叫姓劉的專家客服意識(shí)到了問題的嚴(yán)重性,及時(shí)將問題反饋給了淘寶網(wǎng)的技術(shù)人員,第二天淘寶網(wǎng)的技術(shù)人員和我朋友進(jìn)行了溝通并確認(rèn)交易規(guī)則存在的缺陷,我朋友也希望他們能確保規(guī)則漏洞已經(jīng)得到改善并加強(qiáng)對(duì)淘寶網(wǎng)商家的安全防范意識(shí)宣傳。
另外提醒淘寶店的賣家平時(shí)做好電腦的安全工作,要經(jīng)常更換密碼,安裝好的殺毒軟件,將操作系統(tǒng)的補(bǔ)丁及時(shí)打上,關(guān)閉不使用的端口,不接收來路不明的文件,不上一些有木馬病毒的陌生網(wǎng)站,并注意及時(shí)將貨款進(jìn)行提現(xiàn)操作。
但接下來的問題是,我朋友的Myjoy旗艦店這樣的損失應(yīng)該由誰負(fù)責(zé)呢?淘寶商城是否應(yīng)該進(jìn)行賠付?如果黑客是通過跳板方式進(jìn)行操作,如何進(jìn)行取證并抓獲非法犯罪的人?
- 2024年廣西梧州市春節(jié)假期消費(fèi)投訴舉報(bào)熱點(diǎn)分析(2024-02-27)
- 黑龍江省市場(chǎng)監(jiān)督管理局2021年一季度12315投訴舉報(bào)情況分析(2021-04-23)
- 浙江發(fā)布一季度消費(fèi)維權(quán)分析報(bào)告 售后服務(wù)類和質(zhì)量類投訴問題占比近六成(2021-04-22)
- ?廣西桂林市市場(chǎng)監(jiān)管局2021年第一季度投訴舉報(bào)數(shù)據(jù)分析來了(2021-04-22)
- 投訴數(shù)量同比減少 舉報(bào)咨詢同比增加 山西省市場(chǎng)監(jiān)管局發(fā)布投訴舉報(bào)咨詢數(shù)據(jù)分析(2021-04-21)