文章来源：安全学习那些事                      

2021年5月12日每日经济新闻报道：2018年，在利用肯德基客户端点餐过程中，一名在校大学生徐某发现了App和微信平台之间的点餐漏洞，一分钱不花就拿到了套餐。于是，截至同年10月案发，这名学生一直就用这个方法“白吃”肯德基， 还将这一方法当面或通过网络传授给丁某等4名同学 。徐某的行为造成肯德基品牌所有者百胜公司损失5.8万余元，丁某等四人造成百胜公司损失0.89万元至4.7万元不等。近日，上海市徐汇区人民法院审理了此案，徐某等五人因犯诈骗罪、传授犯罪方法罪被判处有期徒刑两年六个月至一年三个月不等，并处罚金。

在校大学生钻肯德基系统漏洞

2018年4月，在利用肯德基App点餐过程中，徐某无意间发现两个“生财小门道”。他发现：首先在App用套餐兑换券下单，进入待支付状态后暂不支付，之后在微信平台对兑换券进行退款操作，之后：在App中选择退款，就可以免费再获得一张兑换券，相当于有了两张兑换券;在App中进行支付，就可以免费获得一份肯德基套餐，而兑换券却没有消耗掉。

发现这个漏洞后，徐某“喜出望外”。从当年4月起，除了自己这样点餐操作外 ，徐某还做起了“副业”。他将诈骗得来的套餐产品通过线上交易软件低价出售给他人，从中非法获利 ;同时还与同学有“福”同享，将犯罪方法当面或通过网络传授给丁某等4名同学。截至同年10月案发， 徐某的行为造成百盛公司损失5.8万余元，丁某等四人造成百盛公司损失0.89万元至4.7万元不等 。

五名被告获刑一年三个月到两年半不等

徐汇法院审理查明，各被告人利用百胜公司旗下品牌肯德基APP客户端和微信客户端之间的数据不同步，采取先在其中一个客户端用套餐兑换券下单待支付，在另一个客户端操作对兑换券退款，再将之前客户端的订单取消并重新获取兑换券;或者采取先在其中一个客户端用套餐兑换券下单待支付，在另一个客户端操作对兑换券退款，再将之前客户端的订单确认提交后获得取餐码。

无论哪种方法， 被告人是利用系统的数据不同步来实施犯罪，并非系统本身发生的机械故障或者缺陷。其行为存在欺骗性 ，欺骗百胜公司，隐瞒已下单或者取消订单的事实，从而退款;亦或对百胜公司隐瞒已退款的事实，又取消订单返券或者确认获得取餐码。综上，法院认定各被告人明知百胜公司旗下品牌肯德基APP客户端和微信客户端自助点餐系统存在数据不同步的漏洞，仍以非法占有为目的，进行虚假交易，进而非法获取财物的行为认定为诈骗罪。

法院审理后认为，被告人徐某以非法占有为目的，诈骗单位财物，数额巨大，并传授他人犯罪方法，其行为分别构成诈骗罪、传授犯罪方法罪。徐某自动投案，如实供述诈骗和传授犯罪方法罪行，均系自首，依法分别予以减轻、从轻处罚。在判决宣告前徐某一人犯数罪，依法应予数罪并罚。徐某积极赔偿被害单位损失并获谅解，酌情予以从轻处罚。

根据被告人犯罪的事实、性质、情节和对于社会的危害程度，徐汇法院依法认定 徐某犯诈骗罪，判处有期徒刑二年，并处罚金人民币六千元;犯传授犯罪方法罪，判处有期徒刑十个月，决定执行有期徒刑二年六个月 ，并处罚金人民币六千元。丁某等四人皆因相同案由被分别认定为诈骗罪或诈骗罪、传授犯罪方法罪，分别被判处有期徒刑两年至一年三个月，并处罚金人民币四千元至一千元不等的刑罚。

妄想使用虚拟拨号设备犯罪？徐州公安“扫楼”抓获嫌疑人12名

黑客大佬去世，年仅 42 岁！曾发现 DNS 漏洞！

2021，越自律，越自由！网络安全就业班开班通知！

多一个点在看

多一条小鱼干