利用点单漏洞薅羊毛赚100万，安全人员要背锅吗？

羊毛党用无理由退货漏洞薅了100万

近日

上海嘉定公安接到某网络电商公司报案称

发现公司网购平台用户中

有存在利用服务漏洞“薅羊毛”的可疑交易

致使企业累计损失达100万

相关消息一经报道就等上上海同城热搜

通过梳理

民警锁定并抓获了王某、汪某等

分散于多个省市的实施“薅羊毛”诈骗的

20名犯罪嫌疑人

对此

有网友表示

这属于不当得利

退货也要有合理的理由

也有网友表示

平台也有问题

还有网友

分享了自己的经历

无独有偶

随着手机自助点餐

在各大餐饮行业的兴起

有些人被贪欲蒙蔽

利用点餐小程序中的

技术漏洞

非法获利百万元

最终给自己带来牢狱之灾

近日

上海市公安局徐汇分局

虹梅派出所

接到辖区内

一家餐饮公司负责人报案

称该公司

在核对后台代金券数据时

发现订单量

与代金券的核销量对不上

进行整体排查后发现

有几个注册账号频繁利用

退券小程序的技术漏洞

“薅羊毛”！

损失已达百万！

虹梅派出所接到报案后

立即会同分局网安部门

开展侦查

成功锁定了犯罪嫌疑人

陈某等3人

并前往外省市实施了

抓捕行动

到案后

犯罪嫌疑人陈某等3人

均对自己的犯罪事实

供认不讳

陈某交代

在使用该餐饮公司

自助点餐小程序时

发现可以利用技术漏洞

既获得商品

又拿到代金券退款

利用这一漏洞

陈某在网络上

为他人下单订餐

非法获利

△利用漏洞下单获利

目前

犯罪嫌疑人陈某等3人

因涉嫌诈骗罪

被依法采取取保候审的

刑事强制措施

案件正在进一步侦办中

羊毛薅的好，牢饭少补了？

近年来，利用平台漏洞“薅羊毛”的事件可谓是层出不穷。但靠漏洞蹭一些小红包、优惠券满足低价购物需求的“薅羊毛”行为，和利用漏洞套现、或与他人产生金钱交易以换取大额盈利的诈骗行为是有本质区别的。

得物bug部分商品全部9元

去年2月，有网友发现得物APP出现了一批bug价格，包括名牌衣服、鞋子甚至名表，价格统一为9元，与正常价格差价极大，因此不少人趁机下单。

很快得物官方就发表公告称，经过公司排查发现，由于后台系统技术原因，部分商品上线价格显示异常，与实际价格存在较大差距。在此期间，对于价格错误的订单，平台将统一进行关闭处理。作为道歉，得物将向受到影响的每位用户发放特例商品除外的2张50元无门槛优惠卷。

虽然9元商品没“薅”到，但是不少网友也表示算是用一次bug免费换取了大额优惠券，这波不亏。

星巴克券后一杯仅3元

去年4月，星巴克APP因出现bug被网友推上了微博热搜。有多名网友反映，自己的星巴克App账户里忽然多了大量优惠券，包括生日邀请券、周年庆邀请券、金星晋级饮品券等。其中，部分优惠券的有效期截至本周或本月底，而有的券都到了5月份。

对于这一情况，星巴克官方微博回应称，系统确实出bug了，技术伙们正在全力抢修。星巴克客服也表示，的确是系统出现了异常，正在修复。优惠券如果在门店正常核销，就可以使用。

最终，真的很多用户薅到了这波羊毛。

当然，也不是所有的“薅羊毛”都能被称为是“薅羊毛”。

冒充新用户非法套现20万

今年2月，山东东城派出所民警在治安清查行动中发现，辖区有一工作室存在诈骗行为。经查自2022年5月至今，赵某、冯某、韩某三人先后在两小区附近出租房内，大量购买淘宝账号，利用淘宝天猫超市漏洞，冒充新用户以“薅羊毛”手段骗领天猫超市红包，并通过多种手段套现，非法获利20余万元。

图源：菏泽网警巡查执法官方账号

利用肯德基退券漏洞获利20万

去年9月，上海有5名大学生因利用肯德基手机客户端和微信客户端之间数据不同步的漏洞获利20多万元。法院一审认为各被告人通过发起虚假交易，获取退券退款的行为，是基于两个客户端之间数据不同步，使被害单位在错误的基础上进行财产处分，进而造成财产损失，故各被告人的行为符合诈骗罪的构成要件。

图源：央视新闻

冒领新人返现金致使平台方损失15万

去年7月，上海市公安局闵行分局接辖区一直播平台企业报案，称企业为鼓励用户推荐新人而设置的返现奖励金疑似被人冒领，直接经济损失15万元。经梳理，警方在该直播平台系统内发现了9个用户，在并未发生邀请行为的情况下，成为了其他196位用户的“邀请人”，累积领取奖励金达800余次，其中最多的用户在45天内领取235次，成了“专职”邀请人。

图源：文汇报

非法注册新会员兑换免费停车造成商场损失37万

2021年6月，有车主为了节省停车费，使用一款不法软件将他人身份信息绑定在自己的车辆上，利用某商场新会员注册获赠积分，积分可兑换商场停车场一小时停车时间”的活动规则“薅羊毛”，一年内造成商场损失了近37万元停车费。最终，部分车主因诈骗罪分别被判处有期徒刑六个月到九个月不等，缓刑一年，处罚金。而软件开发者因犯帮助信息网络犯罪活动罪，被判有期徒刑六个月，并处罚金。

"薅羊毛"属于违法行为吗？

无可否认，“薅羊毛”的确已经成为了当代消费者的一种普遍行为。在日常的购物过程中，消费者们通过合理的调查研究和耐心的等待，以最低的价格获得心仪的商品或服务，实现消费的最大化这本身没什么问题。

但之所以一些人因为“薅羊毛”获罪，主要在于其超越了“羊毛党”界线，构成了诈骗，为他人造成严重经济损失。

比如在上述提及的新闻报道中，通过漏洞免费获取一些优惠券、红包等都属于正常的消费者“薅羊毛”行为；而部分“羊毛党”利用漏洞搞一些“生财门道”，就属于非法行为了。

比如利用APP客户端漏洞进行退款操作，免费骗取兑换券，售卖给他人获利，直接对商家造成经济损失；再比如利用购物平台漏洞，免费退换货赚取退货赔偿金等。

诸如此类行为的非法性和欺骗性非常明显，并非单纯获取优惠券的“羊毛党”那么简单，这些人可不是平常抢个几块到几十块不等红包以自娱自乐的普通人，而是大规模靠技术和人工手段，靠钻漏洞来薅羊毛获取利润的大群体。所以这类人因其非法行为获刑，也就不意外了。

企业被恶意“薅羊毛”，是安全人员的“锅”吗？

如果从“被损害利益”的企业层面出发，因消费者非法“薅羊毛”而造成的经济损失，责任到底该归咎于谁？究竟是制定“薅羊毛”活动玩法规则的业务人员，还是维护系统安全漏洞的安全人员。这是一个需要认真思考和解决的问题。

首先，作为安全人员，的确有义务提升自身的安全防护水平，及时监测和应对平台用户的异常行为。但很多情况下，被“薅羊毛”并不全是因为安全漏洞。

“薅羊毛”活动，往往是一些新入驻的商家想要吸引眼球，老商家想要稳固客源所使用的一种营销手段，而筹备活动的业务方也难免有时候会在过程中忽略细节，玩法设置不缜密，从而造成一些本想给用户一点“甜”却险些被“薅秃”的情况出现。

所以由于漏洞被“薅羊毛”这事的责任归咎问题，需要分类讨论，不要看到【漏洞】二字，就觉得是安全人员的锅。

业务人员在制定一场活动时，理应建立更加完善的风险评估和应急响应机制。当然，安全人员也务必定期进行安全审计和漏洞修补。只有采取多层次、多措施的安全措施，加强用户信息的加密和存储安全，才能有效保护日常业务安全。

同时，消费者也应对自己的行为负责，避免参与任何违法或不道德的活动。

另外，政府和相关监管机构也应该发挥作用，加强对“薅羊毛”行为的监管和打击。加大对违法行为的处罚力度，提高执法效率，加强合作与信息共享，共同维护市场的正常秩序。

要想完全消除恶意“薅羊毛”行为的发生几乎是不可能的。但相信只要做到多方共治，必定能有效维护市场秩序和消费者权益。

最后，要给那些恶意的“羊毛党”一句忠告，“不是所有规则漏洞都可以利用的！”就算是“薅羊毛”也应遵守规则，恶意逾越规则而获取非法利益，必然面临着法律责任。