支付寶貨款離奇丟失 淘寶交易規(guī)則現(xiàn)重大漏洞

近日，北京的張先生向中國質(zhì)檢網(wǎng)投訴中心講述了他的朋友在淘寶商城開的myjoy旗艦店遭遇的一件離奇事件。

以下是張先生的自述：

5月10日，朋友的淘寶商城myjoy旗艦店，一筆4000多元的貨款離奇的被劃走。先是淘寶商家的賬戶被黑客入侵，黑客再利用淘寶交易存在的漏洞成功將積分（在淘寶積分可以當(dāng)成錢使用）轉(zhuǎn)到自己的個人賬戶，造成淘寶商城店家的損失。

事情的經(jīng)過是這樣的，5月10號的凌晨兩點多,有一個淘寶買家在myjoy旗艦店，一口氣買了幾十件同一款的衣服。他是分四次付款的，總額為5108元。淘寶網(wǎng)對于淘寶商城的店鋪有嚴(yán)格的交易規(guī)定，買家支付完成后，貨款應(yīng)該直接匯入公司的支付寶，最后再通過申請?zhí)岈F(xiàn)匯到一個固定的公司銀行賬戶，不允許進行買入交易或轉(zhuǎn)賬到其它賬戶。可就在這時，一件離奇的事情發(fā)生了。由買家共計支付的5108元錢貨款，不僅沒有匯入朋友的賬戶。反而是朋友的支付寶賬戶，被神奇地扣走4370元到了買家的支付寶賬戶。店主查了一下，這筆錢匯入的賬戶并沒有提現(xiàn)到公司的銀行賬戶，而是到了這位買家的私人賬戶。使用的淘寶旺旺名稱為“開關(guān)機飛份”。

這到底是怎么回事呢？我?guī)е笥训囊蓡栕稍兞颂詫毦W(wǎng)的客服人員。客服的回答算是徹底把我雷倒了。客服小姐說，有可能是公司機器上的病毒造成的?？墒沁@根本不能說服我朋友。病毒或木馬程序只可能會盜號，但不可能自動修改衣服價格并拍下付款，然后再通過多重積分的形式把錢轉(zhuǎn)到自己的賬戶，病毒還沒有這么高的智商吧！一個如此大流量支付寶的系統(tǒng)，就這么容易被病毒進入并自動修改價格？我不禁懷疑，那所謂的支付寶系統(tǒng)，還有什么安全性可言。

排除掉病毒的可能性，我假設(shè)了以下兩種可能性：

1、淘寶的扣點行為造成的。

淘寶商城和淘寶網(wǎng)之間，是有協(xié)議的。淘寶商城一筆交易完成后，淘寶網(wǎng)會扣除掉一個協(xié)議好的百分點。但是這種可能性很快被我否決掉了。因為淘寶網(wǎng)扣點，是在交易完成后，馬上就扣除了，不可能累計一次扣除。再說了，淘寶網(wǎng)也不可能安排專人，通過假借交易來完成扣點。

2、否決了淘寶扣點的可能性之后，我又做了一個大膽的猜測。是不是支付寶系統(tǒng)被人為地入侵，惡意的篡改了整個交易！ 4000多塊錢或許并不算多，可是如果這是一筆上千萬金額的交易呢?這真的是太可怕了……

通過進一步的深入分析和調(diào)查，我基本理清了這件事：

1、 黑客注冊新的旺旺號“開關(guān)機飛份”和支付寶賬號。

2、 黑客利用入侵商家的電腦或淘寶網(wǎng)系統(tǒng)的后臺（因為無法進入淘寶內(nèi)部服務(wù)部進行調(diào)查取證，只能預(yù)估存在這兩種情況的其中一種）得到淘寶商城店的主賬號密碼。

3、 黑客進入我朋友的myjoy旗艦店的后臺，將原來129的半身裙的價格修改為150元。并將黑客的旺旺號設(shè)置為店鋪的高級VIP享有9折的優(yōu)惠。

4、 黑客設(shè)置幾次拍衣服的返點比例為85%-99%，如果設(shè)置為99%的話，即買家如果拍100元的衣服，將會返還給買家價值99元的積分。

5、 黑客設(shè)置衣服參加活動的返點，比例同樣為85%-99%。

6、 因為淘寶上的積分反點的規(guī)則是可以重復(fù)設(shè)置的，這就為黑客創(chuàng)造了可以利用的漏洞，通過雙重積分的方式使得拍下價值為150元的衣服并交易成功后，如果黑客設(shè)置為99%的雙重積分，買家可以得到297元價值的積分，這樣就直接獲利147元

通過黑客操作后，支付寶進行積分返還的圖例：

1、第一筆460元，獲利344.96元

2、第二筆760元交易，獲利614.93元

3、第三筆1323元交易，獲利1167.57元

4、第四筆2565元交易，獲利2243.25元

非法獲得總計為 4370.71元

這個黑客開始很小心，第一筆只拍了460元進行嘗試，確認(rèn)成功獲利后再一步步地加碼，直到我朋友的淘寶商城的店當(dāng)天的支付寶里的錢所剩無幾。

允許重復(fù)積分的規(guī)則對于淘寶商城賣家的安全交易形成非常大的隱患，因為淘寶上的商家能了解并懂得安全防范的很少，很多商家的電腦極易被黑客控制并利用該規(guī)則進行犯罪獲取非法收益。

為避免更多的商戶受到損失，我和朋友無數(shù)次的與淘寶網(wǎng)客服聯(lián)系，一次次撥打淘寶商城的熱線電話總是占線。因為淘寶商城的熱線打不進去沒有辦法，所以只有一次次撥打淘寶非商城客服請她們將問題及時反饋給淘寶商城的工作人員或技術(shù)人員，后來一名叫姓劉的專家客服意識到了問題的嚴(yán)重性，及時將問題反饋給了淘寶網(wǎng)的技術(shù)人員，第二天淘寶網(wǎng)的技術(shù)人員和我朋友進行了溝通并確認(rèn)交易規(guī)則存在的缺陷，我朋友也希望他們能確保規(guī)則漏洞已經(jīng)得到改善并加強對淘寶網(wǎng)商家的安全防范意識宣傳。

另外提醒淘寶店的賣家平時做好電腦的安全工作，要經(jīng)常更換密碼，安裝好的殺毒軟件，將操作系統(tǒng)的補丁及時打上，關(guān)閉不使用的端口，不接收來路不明的文件，不上一些有木馬病毒的陌生網(wǎng)站，并注意及時將貨款進行提現(xiàn)操作。

但接下來的問題是，我朋友的Myjoy旗艦店這樣的損失應(yīng)該由誰負(fù)責(zé)呢？淘寶商城是否應(yīng)該進行賠付？如果黑客是通過跳板方式進行操作，如何進行取證并抓獲非法犯罪的人？