银行手机app存重大漏洞,余额为0也能成功转账?

发表于:2020-3-20 09:56  作者:佚名   来源:支付曝光台App

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: 漏洞 银行

  余额为0也能成功转账?如此咄咄怪事,竟出现在平顶山银行的手机App上。更让人瞠目的是,该行竟在4个月后才发现被套取了逾300万元的资金。近日,平顶山市湛河区人民法院披露一份盗窃案的刑事判决书,揭示了平顶山银行APP中存在过巨大漏洞
  判决书显示,罪犯朱某鑫,1996年生人,小学文化。2017年至2018年,朱某鑫在手机上下载平顶山银行APP,绑定了其名下三张他行Ⅰ类银行卡,并通过平顶山银行APP为这三张银行卡注册了11个平顶山银行Ⅱ类账户。
  所谓Ⅰ类银行卡,即正常的全功能银行账户。Ⅱ类账户则不能存款、支取现金、向非绑定账户转账,它可以用于向绑定账户转账、购买投资理财产品等、消费及缴费支付,但有1万元人民币的单日支付限额。
  2018年12月11日,朱某鑫从其中一张绑定APP的银行卡卡中向平顶山银行的Ⅱ类账户充值,在操作时朱某鑫发现,划转资金的银行并未收到扣款短信,但平顶山银行Ⅱ类账户中资金余额却相应增加。
  此时朱某鑫发现了平顶山银行APP的漏洞,在绑定的Ⅰ类银行账户中没有资金余额的情况下,提交充值申请居然可以无中生有。
  朱某鑫在明白平顶山银行APP此类漏洞后开始大量的操作。2018年12月至2019年3月21日间,朱某鑫使用没有余额的三张银行卡重复上述操作166次,使其卡里的11个平顶山银行Ⅱ类账户因系统漏洞转入该行自有资金共计311.36万元,并将其中100万元通过平顶山银行交易平台购买理财产品以及办理大额定期存款,又分243次将212.09万元转至其本人的其他银行账户之中。
  4个月的时间里,平顶山银行均未发现异常。朱某鑫将钱款套现后,购买了大量电子产品、服饰和金银,并四处游玩。
  2019年3月22日,平顶山银行报警。同月29日,朱某鑫被抓获。警方抓获朱某鑫后,冻结了其5张银行卡中共计194.81万元赃款,在其住处扣押70余部手机、5本笔记本电脑、3本平板电脑以及大量服饰和百余件金玉器。
  值得一提的是,此漏洞并非平顶山银行APP独有。2018年12月12日,朱某鑫下载新疆银行APP,用同样手段分8次将新疆银行自有资金5.6万元转入其账户之中。但是新疆银行风控的反映速度要比平顶山银行快上很多。同月26日,新疆银行就发现了朱某鑫的账户异常,并要求其返款银行资金,同日朱某鑫将5.6万元退还给了银行。
  朱某鑫到案后,对自己的罪行供认不讳。平顶山市湛河区人民法院以盗窃罪,判处朱某鑫有期徒刑11年,并处罚金20万元。
  据了解,平顶山银行APP由平顶山银行开发,通过查询平顶山银行APP的版本历史记录发现,朱某鑫犯案的时间段中,平顶山银行APP经过了数次更新,其中包括从2.6.4版本至3.0大版本的更新。目前,平顶山银行APP已经更新至3.1.1版本,从发布新版本后,进行了11次优化升级。

      本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理

【福利】填问卷送精选测试礼包+接口测试课程!为测试行业做点事!

评 论

论坛新帖

顶部 底部


建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海瀛东律师事务所 张楠律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2020, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道