※ [本文轉錄自 Gossiping 看板 #1VX_wt8Z ]
作者: xuein (黃金燒臘) 看板: Gossiping
標題: [新聞] 鑽APP漏洞詐全聯！推薦會員200點...2高
時間: Thu Oct 15 15:48:05 2020
ETtoday新聞雲
鑽APP漏洞詐全聯！推薦會員200點...2高職畢業生上千分身削150萬
https://cdn2.ettoday.net/images/5205/d5205867.jpg
▲警方查扣犯案用的電腦主機並逮捕兩名騙兌全聯點數的犯嫌，刑事局偵七大隊第二隊隊長
郭有志說明案情。（圖／記者張君豪攝）
記者張君豪／台北報導 2020年10月15日 15:35
全聯福利中心推出「全聯行動會員」APP會員促銷，打著推薦新會員開通以及推薦新會員都
可以獲得100點數，受推薦人可獲得2百點數，結果有兩名僅高職畢業的電腦自學者發現APP
漏洞，透過駭客撰寫姓名、電話、生日產生器註冊1320個假會員帳號，以互相推薦方式賺取
超過1500萬點數並上網兜售，騙得逾150萬元，警方逮捕兩名喜玩網路電腦遊戲並鑽全聯購
物APP漏洞的賴姓、張姓男子。
https://cdn2.ettoday.net/images/5205/d5205862.jpg
▲警方查扣犯案用的電腦主機並逮捕兩名騙兌全聯點數的犯嫌。（圖／記者張君豪翻攝）
刑事局偵七大隊調查，發現全聯福利中心會員APP贈點活動，從2019年10月15日開辦供消費
者下載吸引顧客上門消費，會員只要輸入姓名、電話、出生年月日，透過APP發送手機認證
簡訊就可開通。
全聯福利中心賣場會員消費時，就只要出示手機APP就會有點數回饋，而消費者第一次開通
之會員會有100點數，如果再以推薦碼推薦朋友加入會員，推薦人可以獲取100點數，受推薦
人可以獲取200點數，點數可進行購物消費，約10點可折抵1元。
https://cdn2.ettoday.net/images/5205/d5205865.jpg
▲警方查扣犯案用的電腦主機並逮捕兩名騙兌全聯點數的犯嫌。（圖／記者張君豪翻攝）
全聯福利中心網管人員發現，一名在2020年8月中旬登錄的黃姓會員（假帳號）約在短短一
個月內獲得1320個虛假會員帳號推薦獲得點數，這些假帳號相互推薦獲得點數後，網管人員
發現最後點數都匯回黃姓會員帳號之下，導致黃姓會員帳號獲利超過1500萬點，事後並透過
蝦皮在網路上拍賣，陸續獲利逾150萬元。
案件經全聯福利中心網管、法務人員稽核發現後，今年9月向刑事局偵七大隊具狀提告，警
方查詢該假帳號網路登錄資料，確定家住桃園的賴姓男子（29歲、詐欺、妨害電腦）、新北
市土城的張姓男子（25歲）利用假帳號冒領全聯購物點數，10月12日約談兩人到案說明。
刑事局偵七大隊聯手科技研發科、桃園市警局刑大偵一隊執行搜索，查獲並於2嫌住處查扣
行動電話3支、電腦4台、隨身碟11支、電腦硬碟47片等物，初步估計該公司遭詐之點數超過
1500萬點，市價超過150萬元。
兩嫌落網後，辯稱不知道創設帳號、相互推薦賺點數是違法行為，自稱喜歡玩網路遊戲認識
，以拍賣遊戲虛擬寶物維生，幕後並有駭客幫忙撰寫創設會員的巨集程式，藉此大賺全聯點
數，並透過蝦皮網拍，以市價8折方式兜售點數，檢警認為兩人涉及妨害電腦使用、詐欺等
罪嫌函送桃園地檢署偵辦。
https://www.ettoday.net/news/20201015/1832218.htm

8+9?

新卡神?

自己審核太爛怪人家？

寫巨集需要駭客嗎

可以加入民進黨了 新一代卡神

很有能力

原來這樣算詐騙

高職生....150萬.....人才阿

自己不加手機號碼驗證回傳 結果手機亂填就會過 這刑法XDDD

設備好爛- -

所以不要集中就不會發現嗎

用假資料騙人家錢不是詐欺是啥?

起碼看起來不會那麼扯吧，一次作業才幾百點搞到上千萬點

用假資料註冊叫詐欺?

還架server 散熱應該很差

手機不用驗證？

用假資料註冊不行喔

自己工程師雞腿請的被鑽漏洞怪誰？

系統很好騙很蠢你去騙了還是詐欺阿 難道失智弱勢的人很好騙你騙了就無罪嗎?? 有這種邏輯還滿詭異的

給真個資被賣掉都查不到 嘻嘻

ptt註冊假資料發廢文洗錢的也要抓去關嗎？

只能怪設計者沒想到

自己不驗證怪人家鑽漏洞

註冊都通過了還叫「假帳號」嗎？

這算漏洞嗎，寫的時候就沒有設計要綁手機驗證

用假資料獲取利益 符合詐欺要件沒錯如果只用假資料註冊 沒做任何事 沒受害者 沒事

這個太好抓了

真是人才呀 這感覺真的是在線上遊戲漏洞洗寶物的人做的事

是我沒理解對嗎？1500萬/1320=11363等於辦一個帳號可以賺這麼多點？

全聯APP要手機認證，該嫌是透過手機門號認證服務商弄的1320是被察覺有問題的數據，是1320帳號把點數轉到同一個帳號。兩嫌創的帳號應該不只1320

這跟刷首抽一樣，自己有漏洞怪人？

寫個腳本都能自稱駭客了

這能辦？？？？？

蟑螂死好

自己訂的爛規則被鑽漏洞

我看到最後，只有偽造文書

駭客定義怎麼越來越低==規則漏洞又不叫程式漏洞 這叫生活駭客好嗎

詐騙？？？？

這是類推詐騙吧，應該算漏洞

這詐騙等級太low

卡神高職版

琪姊 快救他們

這那叫詐騙？合法漏洞

這樣叫詐騙？

自己沒把關好

輸不起喔 垃圾公司

電腦硬碟47片 裡面是裝什麼東西要這麼大

好險XDDD以前中信不是還有拿紅茶破萬杯的我記得

都說漏洞了 哪裡違法

真是個人才! 歡迎加入蟑螂團隊

算詐騙嗎...阿不就是漏洞而已

你拿你的我拿我的犯法嗎

笑死，原來是新卡神阿。

全聯自己漏洞哪算詐騙啊

福利熊不審核就發推薦獎勵 也太扯了吧

卡神、1450表示合法

金融業:推薦人數竟然敢不設上限,新來的齁

全聯自己問題，好意思

那要手機號碼驗證，哪有那麼多手機號碼

民進黨馬上吸收？

去支援收銀

這不是偵九隊的事嗎？

蟑螂新星

人才

這算是企業要自己的問題吧！可以取消，可以做減免，但是抓人有點怪

奇怪 難道今天一個人家裡忘了關門鎖門，你就可以隨意進去拿東西嗎？然後怪他自己忘了鎖門？

這不是鎖門問題吧....

相信我 版上的人真要寫 沒問題的 主要是這就很明顯你會搞到出事 還是刑事 正常在過生活的人沒這麼閒你的系統有漏洞 如果你是做漏洞測試因回報而被告還有的講 你跑去牟利 全聯的法務會放過你我覺得他們才失職

全聯的癥結在於點數可以送給其他帳戶

搜索票如果有照程序請的下來 想必真的蠻有問題的吧這就看法律專業的人士在這案怎麼攻防

設計爛惱羞

認真說，這個應該要不構成犯罪才對

笑死，真的很像刷首抽

法官會不會判刑還難講，註冊不實資料謀利跟詐欺不完全是等號，至於妨害電腦使用？？？又不是竄改數據…

刷首抽 訪客就可以刷了吧 連帳號都不用綁@@

這個完全是正常使用，純粹是規則漏洞，跟卡稱的做法一樣

這一定不會判

漏洞歸漏洞 用假資料騙回饋就是違法用假資料註冊沒事 但是用假資料獲取回饋有事

全x自己的工程師早就刷點數刷爽爽了吧，身分驗證都沒

看起來註冊就不用實名啊，那註冊1300個帳號為什麼不行？姓名、電話、生日亂寫自己不做驗證，看起來又沒有需要身分證

真天真 這樣就想鑽漏洞獲利

一堆老闆平常不重視資安的結果就是這樣

一堆人以為這沒事到底是法治觀念有多差......

人力駭客?

簡訊驗證又沒有屁用 線上收簡訊就好啦 要多少就多少

這感覺是全聯的設計自己沒想好,出包沒辦法只好告

不誠實手法講難聽就道德問題, 扯到錢才可能踩到政府法規

智障pm亂設計吧

全聯點數可以賣？

全聯好像找香港公司寫的