当前位置: 首页>> 投诉

支付宝货款离奇丢失 淘宝交易规则现重大漏洞

2010年05月18日 00:00 信息来源:http://www.cqn.com.cn/news/tsfk/tousu/313721.html

近日,北京的张先生向中国质检网投诉中心讲述了他的朋友在淘宝商城开的myjoy旗舰店遭遇的一件离奇事件。

以下是张先生的自述:

5月10日,朋友的淘宝商城myjoy旗舰店,一笔4000多元的货款离奇的被划走。先是淘宝商家的账户被黑客入侵,黑客再利用淘宝交易存在的漏洞成功将积分(在淘宝积分可以当成钱使用)转到自己的个人账户,造成淘宝商城店家的损失。

事情的经过是这样的,5月10号的凌晨两点多,有一个淘宝买家在myjoy旗舰店,一口气买了几十件同一款的衣服。他是分四次付款的,总额为5108元。淘宝网对于淘宝商城的店铺有严格的交易规定,买家支付完成后,货款应该直接汇入公司的支付宝,最后再通过申请提现汇到一个固定的公司银行账户,不允许进行买入交易或转账到其它账户。可就在这时,一件离奇的事情发生了。由买家共计支付的5108元钱货款,不仅没有汇入朋友的账户。反而是朋友的支付宝账户,被神奇地扣走4370元到了买家的支付宝账户。店主查了一下,这笔钱汇入的账户并没有提现到公司的银行账户,而是到了这位买家的私人账户。使用的淘宝旺旺名称为“开关机飞份”。

这到底是怎么回事呢?我带着朋友的疑问咨询了淘宝网的客服人员。客服的回答算是彻底把我雷倒了。客服小姐说,有可能是公司机器上的病毒造成的。可是这根本不能说服我朋友。病毒或木马程序只可能会盗号,但不可能自动修改衣服价格并拍下付款,然后再通过多重积分的形式把钱转到自己的账户,病毒还没有这么高的智商吧!一个如此大流量支付宝的系统,就这么容易被病毒进入并自动修改价格?我不禁怀疑,那所谓的支付宝系统,还有什么安全性可言。

排除掉病毒的可能性,我假设了以下两种可能性:

1、淘宝的扣点行为造成的。

淘宝商城和淘宝网之间,是有协议的。淘宝商城一笔交易完成后,淘宝网会扣除掉一个协议好的百分点。但是这种可能性很快被我否决掉了。因为淘宝网扣点,是在交易完成后,马上就扣除了,不可能累计一次扣除。再说了,淘宝网也不可能安排专人,通过假借交易来完成扣点。

2、否决了淘宝扣点的可能性之后,我又做了一个大胆的猜测。是不是支付宝系统被人为地入侵,恶意的篡改了整个交易! 4000多块钱或许并不算多,可是如果这是一笔上千万金额的交易呢?这真的是太可怕了……

通过进一步的深入分析和调查,我基本理清了这件事:

1、 黑客注册新的旺旺号“开关机飞份”和支付宝账号。

2、 黑客利用入侵商家的电脑或淘宝网系统的后台(因为无法进入淘宝内部服务部进行调查取证,只能预估存在这两种情况的其中一种)得到淘宝商城店的主账号密码。

3、 黑客进入我朋友的myjoy旗舰店的后台,将原来129的半身裙的价格修改为150元。并将黑客的旺旺号设置为店铺的高级VIP享有9折的优惠。

4、 黑客设置几次拍衣服的返点比例为85%-99%,如果设置为99%的话,即买家如果拍100元的衣服,将会返还给买家价值99元的积分。

5、 黑客设置衣服参加活动的返点,比例同样为85%-99%。

6、 因为淘宝上的积分反点的规则是可以重复设置的,这就为黑客创造了可以利用的漏洞,通过双重积分的方式使得拍下价值为150元的衣服并交易成功后,如果黑客设置为99%的双重积分,买家可以得到297元价值的积分,这样就直接获利147元

通过黑客操作后,支付宝进行积分返还的图例:

1、第一笔460元,获利344.96元

2、第二笔760元交易,获利614.93元

3、第三笔1323元交易,获利1167.57元

4、第四笔2565元交易,获利2243.25元

非法获得总计为 4370.71元

这个黑客开始很小心,第一笔只拍了460元进行尝试,确认成功获利后再一步步地加码,直到我朋友的淘宝商城的店当天的支付宝里的钱所剩无几。

允许重复积分的规则对于淘宝商城卖家的安全交易形成非常大的隐患,因为淘宝上的商家能了解并懂得安全防范的很少,很多商家的电脑极易被黑客控制并利用该规则进行犯罪获取非法收益。

为避免更多的商户受到损失,我和朋友无数次的与淘宝网客服联系,一次次拨打淘宝商城的热线电话总是占线。因为淘宝商城的热线打不进去没有办法,所以只有一次次拨打淘宝非商城客服请她们将问题及时反馈给淘宝商城的工作人员或技术人员,后来一名叫姓刘的专家客服意识到了问题的严重性,及时将问题反馈给了淘宝网的技术人员,第二天淘宝网的技术人员和我朋友进行了沟通并确认交易规则存在的缺陷,我朋友也希望他们能确保规则漏洞已经得到改善并加强对淘宝网商家的安全防范意识宣传。

另外提醒淘宝店的卖家平时做好电脑的安全工作,要经常更换密码,安装好的杀毒软件,将操作系统的补丁及时打上,关闭不使用的端口,不接收来路不明的文件,不上一些有木马病毒的陌生网站,并注意及时将货款进行提现操作。

但接下来的问题是,我朋友的Myjoy旗舰店这样的损失应该由谁负责呢?淘宝商城是否应该进行赔付?如果黑客是通过跳板方式进行操作,如何进行取证并抓获非法犯罪的人?

返回

Baidu
map