空手套走三百余万 平顶山银行App存在重大漏洞
Ⅱ、Ⅲ类户最近出的问题不少。
来源:银行科技研究社
作者:伟辰
周勇(化名),男,1996年出生,和广州大街上随处可见的23岁男生一样,他也会为钱感到困扰,而且他的困扰可能比其他人更大一些,因为他只有小学文化。突然有一天,他意外的在手机里面发现了一个秘密,这个秘密让他意识到:钱真的可以是大风刮过来的。
这个秘密说大不大,说小不小,朱勇利用这个秘密在短短几个月内就拥有了百万资产,他开始了购物、享乐、旅游,钱真的是来的太轻松了。
1
周勇曾经一无所有过,他使用手机App通过中信银行Ⅰ类银行卡向平顶山银行Ⅱ类账户充值时,发现自己没有接到扣款短信,一查银行卡余额,显示余额为0。周勇并不知道自己的银行卡账户已经为0了,他以为还有点钱,然后他就发现了手机里的秘密。
平顶山银行自己的Ⅱ类账户余额增加了,数额正好是自己刚刚试图充值的数额,自己的银行卡不是没有钱了吗?怎么充值还是成功了?周勇没有去管那么多,在随后的几个月内,他使用三张没有余额的Ⅰ类银行卡重复充值操作166次,向自己在平顶山银行开设的11个Ⅱ类账户中转入了资金3113631.83元。
很轻松的,周勇就实现了人生的逆转,他不太清楚这一切为什么发生,也不清楚自己究竟干了什么。他只知道,只要打开手机当中的平顶山银行App,向自己的Ⅱ类账户中充值,不管Ⅱ类账户绑定的Ⅰ类银行卡当中有没有钱,Ⅱ类账户余额都会增加。
这简直就是“无中生有”。
2
这种“无中生有”的漏洞不仅仅存在于平顶山银行的App当中,新疆银行App也存在类似漏洞,周勇也发现了,但是新疆银行没有给周勇机会。
在周勇使用同样的伎俩向其在新疆银行App注册的Ⅱ、Ⅲ类账户重复充值的半个月后,新疆银行发现了该漏洞,并要求周勇返还所套取的资金56000元,周勇当日进行了返还。
这里就有几个问题令人费解。
为什么平顶山银行App和新疆银行App会存在类似漏洞?难道这两个银行的App是同样的人开发的吗?为什么会存在这样的漏洞?向银行Ⅱ类账户充值为什么转进去的会是该行自有资金?
最重要的,为什么新疆银行可以在半个月内发现问题,而平顶山银行损失了三百余万才在4个月后发现问题?
这些问题都需要细细的研究。但是周勇没有这个机会了。
3
据移动支付网了解,周勇使用100万元通过平顶山银行交易平台购买理财产品以及办理大额定期存款之外,分243次将2120938.42元转到本人其他银行账户上,用于购买大量电子产品、服饰、金银及旅游花费等等。
2019年3月22日平顶山银行报警,公安机关在广州市将周勇抓获,并冻结了其五张银行卡中的赃款共计1948086.87元,扣押了70余部手机、5部笔记本电脑、3部平板电脑及大量服饰。经河南中泰资产评估事务所评估,扣押的服饰类、鞋类价值341835元,电子设备价值200418元。
一审刑事判决书显示,法院认为周勇以非法占有为目的,秘密窃取他人财物,数额特别巨大,其行为已构成盗窃罪。由于周勇自愿认罪认罚,大部分被盗现金已返还被害单位,法院决定对其从轻处罚,判处有期徒刑十一年,并处罚金人民币二十万元。
周勇的罪名已经确定了,但是存在漏洞的平顶山银行会怎么被处置呢?