淘宝商城myjoy旗舰店货款离奇被划走,黑客利用漏洞转积分
中国质检网最新消息,近期,北京的张先生向我国质检网投诉平台反映了一起发生在其朋友身上的奇特经历,该事件涉及他在淘宝商城开设的官方店铺。
以下是张先生的自述:
5月10日,发生在朋友淘宝商城旗舰店的一桩怪事,4000多元的货款不翼而飞。起初,淘宝商家账户遭遇黑客入侵,随后黑客利用淘宝交易系统中存在的缺陷,将积分(在淘宝积分等同于现金)转移至个人账户,导致淘宝商城店铺遭受了经济损失。
5月10日凌晨时分,大约两点多钟,一位淘宝消费者在官方旗舰店一次性选购了大量同一款式的服饰。他采取了分批支付的方式,先后四次完成交易,累计支付金额达到了5108元。淘宝网对淘宝商城内的商家实施了严格的交易规范,规定买家在完成支付后,款项需直接转入公司的支付宝账户,随后再经申请提现至一个特定的公司银行账户。然而,一个异常情况出现了。原本买家支付的5108元货款,竟然并未成功转入朋友的账户。朋友的支付宝账户竟然神奇地被扣除4370元,这笔钱直接转入买家的支付宝账户。店主经过查询发现,这笔款项并未被提现至公司银行账户,而是直接进入了买家的个人账户。而买家在淘宝旺旺上使用的昵称是“开关机飞份”。
这究竟是怎么回事?面对朋友的疑惑,我向淘宝网的客服进行了咨询。客服的回答让我感到十分震惊。她提到,这可能是由于公司机器上的病毒所致。然而,这个解释并不能让我朋友信服。病毒或木马程序通常只会盗取账号,但它们不可能自动调整衣物价格并完成付款,更不可能通过积分兑换的方式将资金转移到自己的账户。病毒的智能程度还没有达到如此高的水平吧!这样一个流量庞大的支付宝平台,竟然如此轻易地被病毒侵入并自动调整价格?这让我不禁对所谓的支付宝系统的安全性产生了怀疑。
排除掉病毒的可能性,我假设了以下两种可能性:
1、淘宝的扣点行为造成的。
淘宝商城与淘宝网之间存在一项协议。每当淘宝商城的一笔交易完成,淘宝网便会按照协议扣除一定比例的佣金。然而,这种情形很快被我排除在外。原因是淘宝网在交易完成之后立即扣除佣金,不会进行累积扣除。此外,淘宝网也不可能指派专人通过伪造交易来实施扣点行为。
在排除了淘宝扣点可能性的基础上,我提出了一个大胆的假设。难道是支付宝系统遭到了人为的非法侵入,对整个交易过程进行了恶意篡改?虽然4000多元并不算巨额,但如果涉及的是上千万的巨额交易,那情况就相当可怕了……
通过进一步的深入分析和调查,我基本理清了这件事:
1、 黑客注册新的旺旺号“开关机飞份”和支付宝账号。
黑客通过侵入商家电脑或淘宝网的后台系统,获取了淘宝商城店铺的主账号密码(鉴于无法进入淘宝内部服务部进行取证调查,我们只能推测其中一种可能性)。
黑客潜入了我朋友开设的旗舰店后台,擅自调整了原价为129元的半身裙的新售价至150元。同时,他们还擅自将黑客的旺旺账号设置为店铺的高级VIP客户,并赋予其享受九折优惠的特权。
黑客将返点比例设定在拍衣服时的85%至99%之间,若将比例定为99%,那么当买家购买价值100元的衣服时,将获得价值99元的积分作为返利。
黑客为参与活动的服装设定了返利比例,该比例与之前相同,介于85%至99%之间。
淘宝平台上的积分返点规则允许用户多次设定,这一特性为黑客提供了可利用的漏洞。他们可以通过实施双重积分手段,在买家成功购买并交易价值150元的衣物后,若黑客将双重积分设置为99%,买家将获得297元价值的积分,从而黑客直接获利147元。
通过黑客操作后,支付宝进行积分返还的图例:
1、第一笔460元,获利344.96元
2、第二笔760元交易,获利614.93元
3、第三笔1323元交易,获利1167.57元
4、第四笔2565元交易,获利2243.25元
非法获得总计为4370.71元
该黑客起初行事谨慎,起初仅以460元作为试探,确认盈利后,便逐渐增加投入,直至我朋友的淘宝店铺当天支付宝中的资金所剩无几。
淘宝商城的卖家在执行允许积分重复使用的规则时,面临着极大的安全隐患。这是因为淘宝平台上的商家中,懂得并能够有效进行安全防范的寥寥无几。众多商家的电脑系统很容易被黑客操控,而他们则利用这一规则实施犯罪活动,非法获取收益。
为了减少更多商家遭受损失,我与同伴多次尝试联系淘宝网的客户服务,然而,每次拨打淘宝商城客服的热线电话,都遭遇了占线的情况。由于淘宝商城的热线电话无法接通,无奈之下,我只能反复联系淘宝非商城的客服,请求她们将问题迅速转达给淘宝商城的员工或技术人员。随后,一位姓刘的专家客服认识到了问题的紧迫性,立刻将情况上报给了淘宝网的技术团队。第二天,淘宝网的技术人员与我朋友进行了交流,并确认了交易规则中存在的不足。我朋友还希望他们能够确保这些漏洞已被修复,并加强对淘宝网商家安全防范意识的宣传教育。
此外,需提醒淘宝店铺的经营者们在日常中加强电脑安全防护,定期更新密码,确保杀毒软件运行正常,及时安装操作系统更新补丁,关闭闲置的网络端口,谨慎接收未知来源的文件,避免访问可能含有木马病毒的陌生网站,并且要留意及时将货款提现。
然而,随之而来的疑问是,我朋友的旗舰店遭受的这种损失,责任应由何方承担?淘宝商城是否应当承担赔偿的责任?若黑客是通过跳板手段实施攻击,我们又该如何搜集证据,并成功将违法分子绳之以法呢?
(李素)