京东白条爆严重BUG!不法分子POS机疯狂套利

简介:

京东白条爆严重BUG!不法分子POS机疯狂套利






据嘶吼读者和“非常旅客”、“支付新鲜事儿”等公众号爆料称,京东旗下京东白条闪付推出的线下优惠活动存在BUG,使用含特定关键字商户名的任意POS机支付均可获得满减优惠,可以无限薅羊毛。


4.png


京东白条闪付是京东金融推出的类信用卡服务,和信用卡一样,使用白条额度可以在线上线下进行消费。线下只要POS机支持银联云闪付、Apple Pay、HUAWEI Pay、Mi Pay中的任意一个,都可以使用白条闪付支付消费。


京东白条爆严重BUG!不法分子POS机疯狂套利-京东白条-阿里聚安全

京东白条闪付的优惠活动,满减要求很低


类信用卡产品讲究运营,会时常举办线下优惠活动去激励用户使用,京东白条亦是如此。这次问题正是出在白条闪付线下优惠活动的规则设置上,网上爆料京东未指定POS商户编号获取优惠,只需要商户名中带有其活动商户名称关键字即可享受优惠。


什么意思呢?我们拿白条闪付和屈臣氏做活动来举例:

正确姿势下,京东获得屈臣氏各门店的POS商户编号,这个编号是唯一的,用户只有在相应门店消费才可享受优惠;
问题姿势里,京东没有用商户编号,而是把订单里的商户名称作为验证条件,只要名称带屈臣氏就能享受优惠。

考虑到现下POS机市场的混乱情况,去申请个符合条件的并不难,只需要会PS各种证件图就能做到。接下来就可以使劲“刷刷刷”了。

京东白条爆严重BUG!不法分子POS机疯狂套利-支付漏洞-阿里聚安全


据嘶吼了解,目前只需网上交付图中资料,即可成功申请一台POS机


京东白条爆严重BUG!不法分子POS机疯狂套利-薅羊毛-阿里聚安全

疑似薅羊毛图,可以看到优惠力度非常大


嘶吼提醒:目前已有数起薅羊毛被起诉判刑案例,请大家不要以身试法


BUG被发现后,有网友通过投诉通道向官方反应,京东内部应已知晓情况。


嘶吼编辑从爆料读者手中获得一张疑似京东内部处理进展的消息截图。图中称已报警处理,联合公安、银联成立专案组坚决打击,并警告内部人士如若参与务必主动交代。


京东白条爆严重BUG!不法分子POS机疯狂套利-京东白条-阿里聚安全


考虑到这次活动优惠力度比较大,疑似内部处理进展语气显露出的大动刀戈,想来京东损失应很惨重。支付/金融行业本身招惹灰产关注,作为新兵的京东白条已经多次曝光过安全隐患,还需加倍小心谨慎防范才是。


同时,嘶吼也向一位业内资深风控专家请教对白条闪付事件的看法。对方表示,如网上爆料属实,京东白条犯下的错确实有些低级。一般来说,营销活动都会遵循“模型->规则->监控->再模型”的方法。


首先需要预计发放的量、发放的目标人群、发放的速率和时间曲线等,确定了这些后才能确定后续的规则和监控的范围;对于规则,这类规则需要对两类进行监控。对用户,黑名单、反复薅多次的人群、设备等需要有一定的监控。对收单商户,单量、时间曲线流量也需要有一定的管控;对于监控,一般确定好预警阀值就好,预警是个大问题,这里不做展开;最后是再次的模型建立,是基于对抗后的展开。


显而易见,在设立规则、风险监控等几个方面,事主需要好好学习。





本文来自合作伙伴“阿里聚安全”,发表于   2017年04月11日 10:20   .
相关文章
|
7月前
|
存储 关系型数据库 MySQL
校园闲置物品交易平台的设计与实现(论文+源码)_kaic
校园闲置物品交易平台的设计与实现(论文+源码)_kaic
|
canal 消息中间件 存储
因为这个功能,产品刚从医院出来,但我想再送他回去
因为这个功能,产品刚从医院出来,但我想再送他回去
82 0
|
算法 机器人
有腿又有轮,还会「拜年讨红包」!腾讯发布首个全自研机器狗Max
腾讯正式发布首个软硬件全自研的多模态四足机器人。让我们来看看这条狗,有多与众不同?
177 0
有腿又有轮,还会「拜年讨红包」!腾讯发布首个全自研机器狗Max
|
安全 机器人 API
自制App追踪全美麦当劳的“冰激凌机”,哪台坏了一目了然,还被麦记高管点赞
自制App追踪全美麦当劳的“冰激凌机”,哪台坏了一目了然,还被麦记高管点赞
145 0
|
机器学习/深度学习 人工智能 监控
“老板狗腿”AI上线!这款软件能潜入电脑,远程监工评绩效,还分分钟给老板打小报告
“老板狗腿”AI上线!这款软件能潜入电脑,远程监工评绩效,还分分钟给老板打小报告
183 0
|
机器学习/深度学习 人工智能 自然语言处理
科学地花钱:基于端智能的在线红包分配方案 (CIKM2020)
红包是电商平台重要的用户运营手段,本文将介绍1688基于端智能技术开发的two-stage红包分发方案。这一方案持续在线上生效,相较于原有算法有明显提升。
2770 0
科学地花钱:基于端智能的在线红包分配方案 (CIKM2020)
|
缓存 监控 前端开发
惊魂48小时,阿里工程师如何紧急定位线上内存泄露?
云计算场景下的大规模分布式系统中,网络异常、磁盘IO异常、时钟跳变、操作系统异常乃至软件本身可能存在bugs等,均给分布式系统正确运行带来了挑战。持续的监控报警完善是打造稳定高可用分布式系统过程中非常重要的工作,这个也就要求我们研发同学从细节处入手,本文将介绍的场景是针对线上报警的一丝异常,抽丝剥茧找到内存泄露的root cause,全程48小时,跟进修复了潜在风险隐患,并进一步丰富完善监控报警体系的过程。
485 0
惊魂48小时,阿里工程师如何紧急定位线上内存泄露?
|
安全 大数据 数据安全/隐私保护
多地iPhone用户遭盗刷 企业数据泄露的结无解?
对于企业来说,大数据在如今已经是必不可少的一项技术。不管是大型科技互联网公司,还是线下消费实体店,社会各行各业都已进入大数据时代。 然而就在大数据快速发展的这几年,国内外涉及数据安全与个人隐私的舆情事件不断发生,涉及人们衣食住行的隐私泄露案频出。
1426 0