屈臣氏网络商店遭离职员工破解结账程式,两嫌利用虚设账号以新台币零元网购商品转卖牟利,5 天成功订购 2 千多件商品,实际财损近 300 万元,出货商察觉有异报警逮人。
警政署刑事局 11 日举行“侦破知名外商药妆 App 遭利用网络漏洞、窜改商品价金案涉嫌刑法诈欺等罪”记者会,电信侦查大队大队长唐嘉仁表示,去年 12 月中接获知名外商药妆连锁商店报案,指称其网络商店购物 App 疑遭人篡改商品价金诈骗。
刑事局经报请新北地方法院检察署指挥,偕同警政署保二总队刑警大队共同扩大侦办。
根据警方调查发现,港商屈臣氏网络商店是在去年 12 月间发现提供客户购物使用的 App 涌现多笔异常订单,且结账总额不符网站标示金额,疑被歹徒破解 App 购物车 API(应用程序界面)系统结账漏洞,进而将商品结账金额更改为零元后顺利出货。
由于厂商对高单价商品或大量出货会特别稽核程序,这才发现食髓知味的犯嫌从低价美妆品转购高单价的 Dyson 3C 商品而露馅,被出货厂商发现才东窗事发。
厂商事后清查,犯嫌于去年 12 月初短短 5 天内,就成功订购 146 笔订单、逾 2 千件商品,合计总价超过 1,500 万元;实际出货商品损失金额则将近 300 万元,也是屈臣氏首次遭窜改价金诈骗商品的案件。
专案小组获报后以网络 IP 进行追查,循线查获位于新北市的 36 岁利女和 27 岁谢男涉有重嫌,其中谢男还曾于屈臣氏担任过门市美妆师,两人平时以网拍为业且熟稔各种网络卖场机制,每次网购时都会尝试寻找各卖场的漏洞机制。
利女和谢男去年 12 月初发现屈臣氏 App 购物车结账程式出现资安漏洞,只要丢入特殊计价商品就会造成总计费用归 0 的漏洞,便利用亲友注册人头会员进行网购,收到货物后再从自己架设的网络卖场低价转售牟利。
全案询后依涉嫌刑法对电脑机器诈欺罪,经解送新北地院后,谢男和利女各以 5 万元及 3 万元交保候传;厂商购物程式漏洞虽已修正,但警方持续扩大追查有无其他共犯涉案。
(作者:黄丽芸;首图来源:By Wing1990hk [CC BY 3.0], from Wikimedia Commons)
