網購屈臣氏1500萬結帳0元 駭客冷笑「花100萬請我不回去」
臺灣知名藥妝連鎖店屈臣氏網購平臺遭駭!港商屈臣氏稽覈人員發現從2018年12月公司網購平臺涌入146筆異常訂單,下訂超過2300件商品,其中包含幾十臺高價的Dyson吸塵器,結果結帳金額居然是0元!屈臣氏稽覈人員發現已遭取貨90多筆藥妝訂單,財損金額近300萬元,但因駭客實在太貪心,最後一筆訂單一次訂購幾十臺Dyson吸塵器,屈臣氏認爲「一般家電行也不可能訂這麼多臺!」,因而發現系統遭駭報警,刑事局電偵大隊日前逮捕涉案謝男、利女2人。
屈臣氏去年12月間發現手機板網購APP有146筆結帳金額爲0元的訂單。懷疑歹徒駭入網購平臺,或者利用APP購物車API(應用程式介面,Application Programming Interface)系統漏洞來破解結帳功能,並將商品結帳金額更改爲0元后順利出貨。
▲屈臣氏遭駭,駭客利用0元付款漏洞大買免費商品,警方查扣犯嫌家內商品堆積宛若藥妝店倉庫。(圖/記者張君豪翻攝)
▲屈臣氏遭駭,駭客利用0元付款漏洞大買免費商品。(圖/記者張君豪翻攝)
屈臣氏指出,這些異常訂單一開始只購買低價藥妝品、面膜。後來歹徒貪心利用此漏洞在最後一天下訂數十臺高價Dyson 3C吸塵器,廠商內部稽覈系統顯示異常,電商平臺遭駭問題才曝光。
屈臣氏事後清查、發現歹徒已訂購市價超過1千5百多萬元,約2千3百多筆商品,實際出貨商品損失金額約新臺幣298萬!屈臣氏事發後向刑事局電信偵查大隊報案後,警方追查根據歹徒下訂上網IP鎖定家住新北市板橋區的曾任職屈臣氏的離職員工謝姓男子(27歲)及利姓女子(37歲)涉案。
警方2月14日收網逮捕兩人,並在兩人住處查扣手機6支、筆電2臺、信用卡44張、商品訂購單一批及網購取得之藥妝商品2千3百多件。警方發現兩人目前均從事網拍業,警懷疑他們把0元購得的藥妝品低價轉賣牟利。
刑事局電偵大隊指出:經調查警方發現兩人均爲專科畢業,並無資訊工程背景,但卻有能力駭入屈臣氏網購平臺相當離奇,後來警方解析謝姓男子手機,發現謝男手機有屈臣氏網購平臺「工程師模式」版本的APP!
警方指出:工程模式APP是網站平臺開發商、資訊工程師才擁有的內部測試平臺,警方懷疑曾任職屈臣氏公司物流倉儲的謝男可能透過管道拿到屈臣氏網購工程平臺程式、才取得可以0元付帳的權限漏洞。
加上謝男落網時,曾露出詭異微笑向警方表示:「屈臣氏就算花一百萬元請我回去我也不要!」警方懷疑屈臣氏公司有內鬼把工程師APP流出才導致平臺遭駭,檢警雖然在2月14日就收網逮人,但仍請屈臣氏香港總公司修補網站、APP漏洞、加強內部稽覈後,纔在11日披露該公司遭駭財損案情,警方訊後將兩人分依涉刑法第339-3條對電腦機器詐欺罪、妨害電腦使用罪移送法辦。
【其他新聞】