為了讓微店看上去更加美觀，能吸引更多顧客，不少微商選擇使用源代碼來構建微店。殊不知，一些來歷不明的源代碼存在很大的安全漏洞——近日，義烏一家開微店沒多久的知名制襪企業就因此損失慘重。顧客鉆了漏洞明明沒付錢，結果他們的后臺卻顯示對方已付了款，35萬多元的商品就這樣被卷走了。

    沒付錢卷走35萬元商品

    余先生是義烏某知名制襪企業的營銷總監。去年8月，這家制襪企業在微信上開設微店并發布“微商宣言”，稱要建5萬個微店，把產品的線上售賣渠道權開放給全球的創業者。

    這家制襪企業的微店不僅賣自己生產的襪子，還聯系了很多合作供應商，線上銷售的產品包括錢包、皮鞋、褲子、首飾、手機等多種生活消費品。平常，負責打理微店的有一個團隊，企業的財務部門月底時跟他們兌一次賬。

    4月下旬，一名開微店的同行突然打電話給余先生，說他們的微店的銷售體系出了問題。“一些人下單后并沒付款，但我們的后臺卻顯示他們已經付過款了，結果很多商品沒收到錢就發了出去。”他問余先生的微店是否遇到了相同的情況。

    恰逢月底，這家制襪企業的財務部門兌賬后大吃一驚——微店里竟有35萬元左右的商品沒收到過錢，但后臺卻顯示顧客已付款并寄了出去。經過進一步調查，他們發現這些未付款取得貨物的顧客超過100人，涉及的商品有1000多件。

    明明沒付款，微店后臺為什么顯示已收到了錢？這名微商同行告訴余先生，構架微店時使用的源代碼存在漏洞。據了解，義烏這家制襪企業的微店是委托深圳一家科技公司建設的，這家公司花錢買來一套源代碼稍作修改后，搭好了微店的框架。

    “這套構架微店的源代碼全國30%左右的微商在用，不少人被懂漏洞的顧客鉆了空子。”這名微商同行說。事發后，余先生讓工作人員逐一聯系那些利用漏洞“買走”商品的顧客。“大約有80%的人寄回了商品，價值28萬元左右。”

    5月18日，余先生代表這家制襪企業向義烏市公安機關報了警。“按照法律規定，這類案件的涉案價值超過5000元，將構成非法破壞計算機信息系統罪；涉案價值超過6000元，將構成詐騙罪。”義烏市公安局刑偵大隊四中隊民警錢金義說。

    源代碼漏洞致企業受損

    經查，涉案的100多名顧客中有11人的行為已涉嫌觸犯刑律。“他們在微店里‘購買’的商品價值都超過了5000元并都已收貨，其中最多的一人沒付錢就挑走了兩萬多元的商品。”錢金義說。

    6月14日至25日，義烏警方分赴北京、重慶、四川、江西、河南、福建、湖南和江蘇等地，先后抓獲八名涉案的顧客。他們年齡最大的25歲，最小的16歲。“除了那名25歲的女子在北京一家會計事務所工作，其余的都是在讀大學生或中專生。”

    據了解，這些顧客都加入了一個名叫“線報群”的QQ群。這個QQ群有一定的準入條件，每個月群成員必須向群主交納80~200元費用。“作為福利，他們將不定期收到一些購物網站的漏洞和破解方法及錯標價格的信息，進而從中‘撿漏’。”

    4月1日，義烏這家制襪企業微店的漏洞信息被發布到“線報群”。隨后，群主教會大家破解的方法——先在電腦上安裝一個模擬器，這樣就可以通過電腦進入微店購買商品；接著再安裝一個抓包軟件修改支付代碼，訂單狀態就變成了“已付款”。

    錢金義說，涉案的八名顧客都對計算機程序比較在行，七名學生的專業大多與計算機有關，每個人都添加了上百個類似“線報群”的QQ群。“雖然其中不乏知名大學的學生，但他們以為這種行為只是撿小便宜‘撿漏’，卻不知已觸犯了刑律。”

    案發后，涉案的八名顧客認罪態度都比較好，均已將非法取得的商品如數退還給義烏這家制襪企業的微店。目前，他們已被采取刑事強制措施，義烏警方正在對這起案件作進一步偵查。

    目前，義烏這家制襪企業的微店已修復存在漏洞的源代碼。鑒于有30%左右的微商在用涉案源代碼，義烏警方通過新報發出提醒，在構建微店要求美觀的同時更應注重安全，請大家盡快尋找專業科技公司修復漏洞，或放棄使用來歷不明的源代碼。