屈臣氏網購漏洞 上萬商品0元結帳

網路法律

聯合報/A8版/社會   記者李奕昕、黃仕揚╱連線報導
2019年3月12日   人氣: 265

知名藥妝連鎖店屈臣氏離職員工謝姓男子,涉嫌利用屈臣氏「公開測試版」網路購物系統漏洞,夥同利姓女友人短短六天零元結帳,訂購價值一千五百萬元的上萬件商品,其中近四千件業者已出貨,損失近三百萬元;兩人到案坦承犯案,已轉賣部分商品,被依詐欺罪移送,檢方各以五萬元、三萬元交保。

刑事局電信偵查大隊說,案發後屈臣氏已修補漏洞;因兩人使用的「公開測試版」APP,為工程師檢查系統所用,非一般民眾能取得,不排除屈臣氏的工程部門還有內鬼。

台灣屈臣氏昨發布聲明,強調此案已進入司法調查程序,不便透露案件細節,但業者將全力配合警方調查。

警方調查,廿七歲謝姓男子曾是屈臣氏倉儲員工,兩年前離職,與卅六歲利姓女子合作從事美妝產品網路拍賣,均沒有資工相關背景;去年十二月起,兩人以手機操作屈臣氏網路購物APP,大肆購買各種商品,均以零元結帳,再上網轉賣。

警方查出,兩人利用「公開測試版」APP具結帳功能漏洞,有四、五種商品的應用程式參數異常,會擾亂購物車計價,無論訂購何種產品,只要拉入參數異常的商品,總結帳金額就會歸零。

兩人犯案第六天,屈臣氏接獲供應商反映,指有筆數十件高單價吸塵器的訂單,因商品量太大,屈臣氏起疑未出貨,檢查系統才驚覺有漏洞;但之前已被下訂一萬一五五九件商品,出貨三千七百多件,損失二九八萬元,修補漏洞並立即報案。

刑事局電偵大隊第一隊分析網路IP,查出謝、利二人犯案,上月十四日拘提兩人到案。兩人供稱不知道「公測版」漏洞,是使用一般APP購物,可能因經常高額消費才取得「隱藏版優惠」;商品都是寄到住家或附近超商取貨,已轉賣部分得手商品,但不記得件數及金額。

警方在兩人板橋住處搜出大批商品,兩處堆放二千三百多件美妝品,包括面膜、蜜粉、洗面乳、化妝水、保濕液、精華液、隔離霜等一百廿七種,宛如小型門市。

上一頁上一頁 頁首頁首

教育部全球資訊網 最後更新: 2019/8/15 | 網站瀏覽人數: 3845465