1块9盗刷54万储值卡？起底巴奴储值卡被攻击背后的薅羊毛灰产

优惠券、折扣、满减，在网络时代，薅羊毛已经成为一种时髦的技能，消费者熟悉规则便可拿到“BUG低价”，但这同时也为黑客创造了利用漏洞牟利的机会。

“充10元能抵1000。”“两人发现抵用券漏洞，疯狂薅羊毛获利770余万。”“利用滴滴平台漏洞刷单非法获利300多万。”……类似案件屡禁不止。

“1块9盗刷54万。”近日，这则消息一出便引起广泛关注，这正是黑客通过攻击巴奴火锅网络系统的违法充值所得。

9月28日，巴奴回应新京报贝壳财经记者称，他们会以损失金额1:1的形式补偿消费者相应的储值卡，截至目前，登记过的顾客已全部补偿完毕，补偿金额24万余元，总计10余人。相对小额的损失可在门店处理。

巴奴负责人表示，这次案件为他们敲响了警钟，“以前以为这种事情只发生在互联网企业，没想到还会发生在餐饮行业。”事发后，巴奴对系统做了维护升级。

目前，案件还在调查中，上述负责人称，“可能会涉及一个连锁的犯罪产业，所以还要等警方侦破。”

北京京师律师事务所律师赵荔为记者分析此类案件指出，这就相当于是ATM套现的变形，“只不过柜员机是以实体的形式表现，而网络是以软件的形式表现。”

其指出，这种套现行为很有可能被定义为盗窃罪，但也有法律人士认为，应该定义为诈骗罪，因为利用了欺诈的方式，骗过了APP软件。依据北京的标准，盗窃罪或诈骗罪，高额均可判10年以上。

此外，赵荔还指出，“即便是自用不转卖，金额超过2000元也会涉嫌犯罪。”

储值卡遭黑客攻击

巴奴火锅以损失金额1:1补偿消费者合计24万元

近日，有多位消费者投诉，其在二手平台8折买来的巴奴火锅储值卡被当成非法卡冻结，无法使用。9月8日，巴奴发布声明称情况属实，但冻结的原因是该批次的卡为违法充值。

声明显示，巴奴在20周年活动时，推出购1000送100，购2000送200的充值活动，优惠力度大抵和9折相当，但是该充值系统被黑客攻破，只需花费1分钱就可充值1000元-4000元面值不等的充值卡。黑客利用BUG，购买多张充值卡，并放到二手平台以8折的价格售卖，总涉及储蓄卡金额达55万余元，实际花费只有1.9元。

本次总共涉及消费者27人，有消费者花费了上万元购买该储值卡，最终被冻结造成损失。对此，巴奴声明，将对消费者的损失以储值卡的形式全额补助。

9月28日，巴奴回应新京报贝壳财经记者称，他们会以损失金额1:1的形式补偿消费者相应的储值卡，截至目前，登记过的顾客已全部补偿完毕，补偿金额24万余元，总计10余人。相对小额的损失可在门店处理。

巴奴负责人表示，这次案件为他们敲响了警钟，“以前以为这种事情只发生在互联网企业，没想到还会发生在餐饮行业。”事发后，巴奴对系统做了维护升级。

目前，案件还在调查中，上述负责人称，“可能会涉及一个连锁的犯罪产业，所以还要等警方侦破。”

至于巴奴火锅为啥会被入侵？“黑客”入侵难度有多大？有程序员对记者表示，“如果一个公司安全部门实力足够大，是可以避免市面上绝大部分攻击的，最多无非就是服务器瘫痪，影响用户和业务。巴奴火锅这个事件中暴露出的漏洞，要么是企业内部人员知晓透露出去，要么就是安全防护级别不够，黑客会通过各种大量的测试进行攻击，直到绕过权限或者防火墙，实现入侵。难度大不大得看这个系统防护做得如何了。”

对于漏洞修复问题，该程序员表示“并不难”，“既然知道是充值出的问题，可以查看黑客进行非法操作时会留下的日志信息，定向进行修复即可。”

网络薅羊毛成牟利手段：

平台漏洞、黑客攻击、团队作战

实际上，利用网络漏洞牟利的事件近年来频有发生，依赖网络的互联网企业更是重灾区。

共享单车就是一个典型的案例。合肥一市民赵敏（化名）日前接受新京报贝壳财经记者采访表示，“我朋友曾经发现过摩拜单车的漏洞，充值10元能抵1000元。朋友也给我充值后，因为骑车不太多，用了两三年多，储值卡里的钱至今还没用完。”

值得一提的是，上述案例以及巴奴火锅此次的损失还只是有限金额的储值卡上，而共享单车账户通常会绑定用户的支付宝、微信、银行卡等信息，这些一旦被攻破，损失更大。

媒体曾报道，在2017年的国际安全极客大赛现场，一名黑客仅用1分钟就破解了评委手机上的4款共享单车APP，轻松提取了评委的历史骑行路径、骑行时间、GPS定位、账户余额和注册账户信息等在内的个人信息，掌握这些信息后，可以顺利以被黑的身份租借骑行共享单车，而这整个过程评委没有任何察觉。

赛后，该黑客表示，其用了一个月的时间看了十几款共享单车，这种情况在共享单车APP上非常普遍，目前只是演示了4款。

据中国法院网官网披露的信息，2017年，深圳的杨某和吴某也曾利用共享单车的系统漏洞，获取修改用户的个人信息，将使用过该单车的用户押金、余额转移到自己账户，仅仅两天时间，两个人盗取了34个用户账户的资金共计两万余元人民币。

随着互联网的发展，薅羊毛的门槛越来越低，不再需要专业的编程技能，一旦抓住平台漏洞，人人都能薅羊毛。

裁判文书网同样披露过类似的案例，2018年4月，江苏一大学生徐某，在肯德基点餐的时候，发现了微信客户端点餐和APP点餐数据不同步的漏洞，徐某利用该漏洞，在APP用套餐兑换券下单，再在微信上退款，便可分文不花获取兑换券或一份套餐。徐某发现该漏洞后又把这个方法传授给丁某等4名同学，后来五人联合做起了副业，通过线上交易平台售卖低价套餐，从中获利。最终造成肯德基母公司百胜集团20万余元的损失，徐某五人则因犯诈骗罪、传授犯罪方法罪被判处有期徒刑两年六个月至一年三个月不等，并处罚金。

容易破解的系统、四处可见的漏洞、足够划算的优惠……有需求就会有市场，在这样的环境下，薅羊毛渐渐由自嗨走向产业化。前不久，广东江门破获了一起利用滴滴平台漏洞刷单诈骗案，诈骗金额达300多万。

根据广东省人民检察院公开的内容显示，被告人王某在2017年就成立工作室，还设置了人力、文员、项目组等，招聘多人团队操作滴滴刷单，虚假注册滴滴司机、乘客账号，进行虚拟跑单，并按照“短单”“绕路”“长单”等方式，增加订单总金额，然后通过客户投诉、国际卡预付等方式骗取滴滴公司先行垫付的订单金额到虚假的司机账户中。

值得注意的是，这套操作中使用的都是通过特殊渠道购买的真人身份信息，包括身份证号、手机号码、国际信用卡、行驶证、支付宝账号等，甚至通过特殊手段以60元每个的价格完成了刷脸认证。此案前前后后的涉案人员达10余人，其中有10人因诈骗罪被判有期徒刑十一年至十二年。

ATM套现的变形？

律师：高额可判10年以上，自用不转卖超2000元也会涉嫌犯罪

在北京京师律师事务所律师赵荔看来，现如今利用网络APP漏洞套现和10几年前利用自动柜员机漏洞套现是相同的道理，“只不过柜员机是以实体的形式表现，而网络是以软件的形式表现。”

赵荔表示，这种套现行为很有可能被定义为盗窃罪，“因为是以非法占有为目的，采用了秘密的方式窃取了他人财物。”但也有法律人士认为，应该定义为诈骗罪，因为利用了欺诈的方式，骗过了APP软件。“诈骗罪相较于盗窃罪要轻一些”，赵荔说。

根据北京的标准，盗窃罪立案标准为2000元，量刑为3年以下，盗窃6万以上，则面临3年以上有期徒刑，如果盗窃超过40万，将面临10年以上有期徒刑或无期徒刑。而诈骗案从立案标准上就比盗窃案高，为5000元，量刑为3年以下，诈骗10万元以上，3年以上有期徒刑，诈骗50万元以上，10年以上有期徒刑或者无期徒刑。

有网友称，如果不转卖只是自己薅羊毛可能也不会被抓。对于这种说法，赵荔表示，即便不转卖，如果消费金额超过2000元，也有可能涉嫌犯罪，犯罪金额以实际消费金额或者商家实际损失的金额为标准。

在巴奴事件中，不少消费者在不知情的情况下受骗，而巴奴方也表示自己是受害者。

自世界变得电子化以来，借助网络漏洞诈骗的事情就频有发生，事发之后，不少企业会以系统被攻破来逃脱责任喊冤，但谁来为消费者买单？

对此，赵荔表示，如果消费者是善意的，比如只是9折和8折的区别，那么商家有责任承担消费者的损失。但如果消费者购买场所或平台为非正规场所或平台，以明显低于市场价格购买，可能就会推定消费者的购买是恶意的，不受法律保护。“当然，如果能够找到恶意售卡的人的话，商家可以向其追偿这些损失。”

巴奴负责人也告诉记者，他们在赔偿消费者的同时，不会放弃向黑客索赔。

事实上，保证消费者的信息和财产安全本就是企业的责任，但大多数平台事发后逃避责任，采取事发后打补丁式的升级系统办法，并不能让事情从根源上得到解决。

赵荔也提醒消费者如果遇到这种情况，通过法律途径维护自己的合法权益，“一定要及时保留证据，比如订购时的截图，交易时的截图这些证据一定要保留好，以利于后期维权使用。”