優(yōu)惠券、折扣、滿減，在網(wǎng)絡(luò)時代，薅羊毛已經(jīng)成為一種時髦的技能，消費(fèi)者熟悉規(guī)則便可拿到“BUG低價”，但這同時也為黑客創(chuàng)造了利用漏洞牟利的機(jī)會。

“充10元能抵1000?！薄皟扇税l(fā)現(xiàn)抵用券漏洞，瘋狂薅羊毛獲利 770 余萬?！薄袄玫蔚纹脚_漏洞刷單非法獲利300多萬?！薄愃瓢讣医恢?。

“1塊9盜刷54萬?！苯?，這則消息一出便引起廣泛關(guān)注，這正是黑客通過攻擊巴奴火鍋網(wǎng)絡(luò)系統(tǒng)的違法充值所得。

9月28日，巴奴回應(yīng)新京報貝殼財經(jīng)記者稱，他們會以損失金額1:1的形式補(bǔ)償消費(fèi)者相應(yīng)的儲值卡，截至目前，登記過的顧客已全部補(bǔ)償完畢，補(bǔ)償金額24萬余元，總計10余人。相對小額的損失可在門店處理。

巴奴負(fù)責(zé)人表示，這次案件為他們敲響了警鐘，“以前以為這種事情只發(fā)生在互聯(lián)網(wǎng)企業(yè)，沒想到還會發(fā)生在餐飲行業(yè)?！笔掳l(fā)后，巴奴對系統(tǒng)做了維護(hù)升級。

目前，案件還在調(diào)查中，上述負(fù)責(zé)人稱，“可能會涉及一個連鎖的犯罪產(chǎn)業(yè)，所以還要等警方偵破?！?/p>

北京京師律師事務(wù)所律師趙荔為記者分析此類案件指出，這就相當(dāng)于是ATM套現(xiàn)的變形，“只不過柜員機(jī)是以實體的形式表現(xiàn)，而網(wǎng)絡(luò)是以軟件的形式表現(xiàn)。”

其指出，這種套現(xiàn)行為很有可能被定義為盜竊罪，但也有法律人士認(rèn)為，應(yīng)該定義為詐騙罪，因為利用了欺詐的方式，騙過了APP軟件。依據(jù)北京的標(biāo)準(zhǔn)，盜竊罪或詐騙罪，高額均可判10年以上。

此外，趙荔還指出，“即便是自用不轉(zhuǎn)賣，金額超過2000元也會涉嫌犯罪。”

儲值卡遭黑客攻擊

巴奴火鍋以損失金額1:1補(bǔ)償消費(fèi)者合計24萬元

近日，有多位消費(fèi)者投訴，其在二手平臺8折買來的巴奴火鍋儲值卡被當(dāng)成非法卡凍結(jié)，無法使用。9月8日，巴奴發(fā)布聲明稱情況屬實，但凍結(jié)的原因是該批次的卡為違法充值。

聲明顯示，巴奴在20周年活動時，推出購1000送100，購2000送200的充值活動，優(yōu)惠力度大抵和9折相當(dāng)，但是該充值系統(tǒng)被黑客攻破，只需花費(fèi)1分錢就可充值1000元-4000元面值不等的充值卡。黑客利用BUG，購買多張充值卡，并放到二手平臺以8折的價格售賣，總涉及儲蓄卡金額達(dá)55萬余元，實際花費(fèi)只有1.9元。

本次總共涉及消費(fèi)者27人，有消費(fèi)者花費(fèi)了上萬元購買該儲值卡，最終被凍結(jié)造成損失。對此，巴奴聲明，將對消費(fèi)者的損失以儲值卡的形式全額補(bǔ)助。

9月28日，巴奴回應(yīng)新京報貝殼財經(jīng)記者稱，他們會以損失金額1:1的形式補(bǔ)償消費(fèi)者相應(yīng)的儲值卡，截至目前，登記過的顧客已全部補(bǔ)償完畢，補(bǔ)償金額24萬余元，總計10余人。相對小額的損失可在門店處理。

巴奴負(fù)責(zé)人表示，這次案件為他們敲響了警鐘，“以前以為這種事情只發(fā)生在互聯(lián)網(wǎng)企業(yè)，沒想到還會發(fā)生在餐飲行業(yè)?！笔掳l(fā)后，巴奴對系統(tǒng)做了維護(hù)升級。

目前，案件還在調(diào)查中，上述負(fù)責(zé)人稱，“可能會涉及一個連鎖的犯罪產(chǎn)業(yè)，所以還要等警方偵破。”

至于巴奴火鍋為啥會被入侵？“黑客”入侵難度有多大？有程序員對記者表示，“如果一個公司安全部門實力足夠大，是可以避免市面上絕大部分攻擊的，最多無非就是服務(wù)器癱瘓，影響用戶和業(yè)務(wù)。巴奴火鍋這個事件中暴露出的漏洞，要么是企業(yè)內(nèi)部人員知曉透露出去，要么就是安全防護(hù)級別不夠，黑客會通過各種大量的測試進(jìn)行攻擊，直到繞過權(quán)限或者防火墻，實現(xiàn)入侵。難度大不大得看這個系統(tǒng)防護(hù)做得如何了?！?/p>

對于漏洞修復(fù)問題，該程序員表示“并不難”，“既然知道是充值出的問題，可以查看黑客進(jìn)行非法操作時會留下的日志信息，定向進(jìn)行修復(fù)即可?！?/p>

網(wǎng)絡(luò)薅羊毛成牟利手段：

平臺漏洞、黑客攻擊、團(tuán)隊作戰(zhàn)

實際上，利用網(wǎng)絡(luò)漏洞牟利的事件近年來頻有發(fā)生，依賴網(wǎng)絡(luò)的互聯(lián)網(wǎng)企業(yè)更是重災(zāi)區(qū)。

共享單車就是一個典型的案例。合肥一市民趙敏（化名）日前接受新京報貝殼財經(jīng)記者采訪表示，“我朋友曾經(jīng)發(fā)現(xiàn)過摩拜單車的漏洞，充值10元能抵1000元。朋友也給我充值后，因為騎車不太多，用了兩三年多，儲值卡里的錢至今還沒用完?！?/p>

值得一提的是，上述案例以及巴奴火鍋此次的損失還只是有限金額的儲值卡上，而共享單車賬戶通常會綁定用戶的支付寶、微信、銀行卡等信息，這些一旦被攻破，損失更大。

媒體曾報道，在2017年的國際安全極客大賽現(xiàn)場，一名黑客僅用1分鐘就破解了評委手機(jī)上的4款共享單車APP，輕松提取了評委的歷史騎行路徑、騎行時間、GPS定位、賬戶余額和注冊賬戶信息等在內(nèi)的個人信息，掌握這些信息后，可以順利以被黑的身份租借騎行共享單車，而這整個過程評委沒有任何察覺。

賽后，該黑客表示，其用了一個月的時間看了十幾款共享單車，這種情況在共享單車APP上非常普遍，目前只是演示了4款。

據(jù)中國法院網(wǎng)官網(wǎng)披露的信息，2017年，深圳的楊某和吳某也曾利用共享單車的系統(tǒng)漏洞，獲取修改用戶的個人信息，將使用過該單車的用戶押金、余額轉(zhuǎn)移到自己賬戶，僅僅兩天時間，兩個人盜取了34個用戶賬戶的資金共計兩萬余元人民幣。

隨著互聯(lián)網(wǎng)的發(fā)展，薅羊毛的門檻越來越低，不再需要專業(yè)的編程技能，一旦抓住平臺漏洞，人人都能薅羊毛。

裁判文書網(wǎng)同樣披露過類似的案例，2018年4月，江蘇一大學(xué)生徐某，在肯德基點(diǎn)餐的時候，發(fā)現(xiàn)了微信客戶端點(diǎn)餐和APP點(diǎn)餐數(shù)據(jù)不同步的漏洞，徐某利用該漏洞，在APP用套餐兌換券下單，再在微信上退款，便可分文不花獲取兌換券或一份套餐。徐某發(fā)現(xiàn)該漏洞后又把這個方法傳授給丁某等4名同學(xué)，后來五人聯(lián)合做起了副業(yè)，通過線上交易平臺售賣低價套餐，從中獲利。最終造成肯德基母公司百勝集團(tuán)20萬余元的損失，徐某五人則因犯詐騙罪、傳授犯罪方法罪被判處有期徒刑兩年六個月至一年三個月不等，并處罰金。

容易破解的系統(tǒng)、四處可見的漏洞、足夠劃算的優(yōu)惠……有需求就會有市場，在這樣的環(huán)境下，薅羊毛漸漸由自嗨走向產(chǎn)業(yè)化。前不久，廣東江門破獲了一起利用滴滴平臺漏洞刷單詐騙案，詐騙金額達(dá)300多萬。

根據(jù)廣東省人民檢察院公開的內(nèi)容顯示，被告人王某在2017年就成立工作室，還設(shè)置了人力、文員、項目組等，招聘多人團(tuán)隊操作滴滴刷單，虛假注冊滴滴司機(jī)、乘客賬號，進(jìn)行虛擬跑單，并按照“短單”“繞路”“長單”等方式，增加訂單總金額，然后通過客戶投訴、國際卡預(yù)付等方式騙取滴滴公司先行墊付的訂單金額到虛假的司機(jī)賬戶中。

值得注意的是，這套操作中使用的都是通過特殊渠道購買的真人身份信息，包括身份證號、手機(jī)號碼、國際信用卡、行駛證、支付寶賬號等，甚至通過特殊手段以60元每個的價格完成了刷臉認(rèn)證。此案前前后后的涉案人員達(dá)10余人，其中有10人因詐騙罪被判有期徒刑十一年至十二年。

ATM套現(xiàn)的變形？

律師：高額可判10年以上，自用不轉(zhuǎn)賣超2000元也會涉嫌犯罪

在北京京師律師事務(wù)所律師趙荔看來，現(xiàn)如今利用網(wǎng)絡(luò)APP漏洞套現(xiàn)和10幾年前利用自動柜員機(jī)漏洞套現(xiàn)是相同的道理，“只不過柜員機(jī)是以實體的形式表現(xiàn)，而網(wǎng)絡(luò)是以軟件的形式表現(xiàn)?！?/p>

趙荔表示，這種套現(xiàn)行為很有可能被定義為盜竊罪，“因為是以非法占有為目的，采用了秘密的方式竊取了他人財物?！钡灿蟹扇耸空J(rèn)為，應(yīng)該定義為詐騙罪，因為利用了欺詐的方式，騙過了APP軟件?！霸p騙罪相較于盜竊罪要輕一些”，趙荔說。

根據(jù)北京的標(biāo)準(zhǔn)，盜竊罪立案標(biāo)準(zhǔn)為2000元，量刑為3年以下，盜竊6萬以上，則面臨3年以上有期徒刑，如果盜竊超過40萬，將面臨10年以上有期徒刑或無期徒刑。而詐騙案從立案標(biāo)準(zhǔn)上就比盜竊案高，為5000元，量刑為3年以下，詐騙10萬元以上，3年以上有期徒刑，詐騙50萬元以上，10年以上有期徒刑或者無期徒刑。

有網(wǎng)友稱，如果不轉(zhuǎn)賣只是自己薅羊毛可能也不會被抓。對于這種說法，趙荔表示，即便不轉(zhuǎn)賣，如果消費(fèi)金額超過2000元，也有可能涉嫌犯罪，犯罪金額以實際消費(fèi)金額或者商家實際損失的金額為標(biāo)準(zhǔn)。

在巴奴事件中，不少消費(fèi)者在不知情的情況下受騙，而巴奴方也表示自己是受害者。

自世界變得電子化以來，借助網(wǎng)絡(luò)漏洞詐騙的事情就頻有發(fā)生，事發(fā)之后，不少企業(yè)會以系統(tǒng)被攻破來逃脫責(zé)任喊冤，但誰來為消費(fèi)者買單？

對此，趙荔表示，如果消費(fèi)者是善意的，比如只是9折和8折的區(qū)別，那么商家有責(zé)任承擔(dān)消費(fèi)者的損失。但如果消費(fèi)者購買場所或平臺為非正規(guī)場所或平臺，以明顯低于市場價格購買，可能就會推定消費(fèi)者的購買是惡意的，不受法律保護(hù)。“當(dāng)然，如果能夠找到惡意售卡的人的話，商家可以向其追償這些損失?！?/p>

巴奴負(fù)責(zé)人也告訴記者，他們在賠償消費(fèi)者的同時，不會放棄向黑客索賠。

事實上，保證消費(fèi)者的信息和財產(chǎn)安全本就是企業(yè)的責(zé)任，但大多數(shù)平臺事發(fā)后逃避責(zé)任，采取事發(fā)后打補(bǔ)丁式的升級系統(tǒng)辦法，并不能讓事情從根源上得到解決。

趙荔也提醒消費(fèi)者如果遇到這種情況，通過法律途徑維護(hù)自己的合法權(quán)益，“一定要及時保留證據(jù)，比如訂購時的截圖，交易時的截圖這些證據(jù)一定要保留好，以利于后期維權(quán)使用。”

新京報貝殼財經(jīng)記者 宋美璐 編輯 陳莉 校對 盧茜