肯德基薅羊毛事件分析 数字化转型下的漏洞

近日，“大学生薅肯德基羊毛，获刑年半”的新闻成为了一时热点。在校大学生徐某利用肯德基App客户端和微信小程序之间数据不同步的漏洞，骗取兑换券或取餐码，出售给他人牟利，并将犯罪方法传授给同学，造成肯德基品牌所有者百胜公司损失20余万元。

上海徐汇法院开庭审理此案，法院认定，百胜公司旗下品牌肯德基App客户端和微信小程序自助点餐系统存在数据不同步的漏洞被徐某等利用，以非法占有为目的，进行虚假交易，进而非法获取财物的行为认定为诈骗罪。 

徐某等五人因犯诈骗罪、传授犯罪方法罪被判有期徒刑两年六个月至一年三个月不等，并处罚人民币四千元至一千元不等。

复盘：如何薅肯德基羊毛

在相关报道中，徐某薅肯德基羊毛的方法有两个。 

第一个是在App客户端用套餐兑换券下单，进入待支付状态后暂不支付，之后在微信小程序对兑换券进行退款操作，然后再将之前客户端的订单取消，这时候客户端上竟可以重新获取兑换券，此种方式分文未付骗取了一份兑换券。

第二个是先在App客户端用套餐兑换券下单待支付，在微信小程序退掉兑换券，再在App客户端用兑换券支付，这时便可以支付成功并获得取餐码，此种方式等于分文未付骗取了一份套餐。 

但事实上，这其实是利用漏洞时的不同步骤，并不是两个方法。

从图中可以清晰看出，想要利用这个漏洞，首先需要购买一份肯德基优惠券，这种优惠券可以在淘宝肯德基官方店凭手机号进行购买。 

在购买优惠券后，使用购买优惠券的手机号同时登陆微信小程序和肯德基官方App，首先在官方App中下单进入待支付界面，然后进入微信小程序对购买的优惠券进行退单，最后再回到官方App根据需要选择退单或确认订单。 

如果选择退单，就可以获得一份免费的优惠券，可以直接使用；选择确认订单，则可以获得肯德基的取餐码，肯德基通过取餐码取餐，此时就可以将取餐码进行转让，从而变现。

从上图可以看出，肯德基的漏洞实现，其实是通过两个客户端在短时间内对优惠券订单和套餐订单分别进行不同操作所实现的。 

从现实出发，当使用优惠券购买套餐时，该优惠券已经到了收银台里，但是消费者还没有付款，此时消费者无法再对优惠券订单进行操作。

因为优惠券此时在收银台里不在消费者手里，消费者必须要先处理套餐订单，选择购买套餐，则优惠券被使用；选择不购买套餐，则优惠券被退回。

当优惠券被退回，消费者才可以再转过头来处理优惠券，再次选择使用或退款。 

也就是说，优惠券的购买、使用或退款是一个线性的流程，使用和退款两个选项是绝不可能同时进行的步骤。从现实角度出发，一张纸质的优惠券当然不可能同时出现在两张柜台上进行两种截然相反的操作，因此这个流程在线下使用时不会出现什么问题。 

但是当优惠券成为一个电子化的产品，甚至于连柜台、收银台都进行了电子化，一张优惠券同时出现于两个柜台进行截然相反的操作成为了可能。因为在数字世界中一切都成为了数据，而同样的数据出现在两个地方是可以做到的。

就好似我们可以同时使用不同的App，一边听歌一边看文章，而这篇文章可以同时存在于多个App上，也可以同时存在于不同设备的同一个App上，现实的流程并不完全适用于数字世界。 

而肯德基问题就在于，在将业务线上化进行数字化转型的过程中，并没有考虑到数字世界的特殊性，粗暴简单的将现实中优惠券的使用流程放在了数字世界中进行使用，让现实中不可能出现的事情出现在了现实当中。

猜测：两套账户体系导致了漏洞

肯德基的在数字化转型中犯的错是没有考虑到数字世界的特殊性，以至于让本不应该发生的事情发生了，但是具体错误是出现在了哪里呢？

对此，记者咨询了邦盛科技反欺诈风控领域技术人员，他表示，出现这样的问题或有可能是因为肯德基系统对账户管理存在问题，才导致数据的不同步。 

一般来说，在同一个账户体系当中，不可能出现两个一样的账户名，比如不会存在同样的QQ号、不会存在同样的手机号，这样就避免了系统中出现同一个账户被两个人操作或者同一个账户名却存在两个账户的情况。

如果同时出现了两个一样的账户登录系统，系统应当只保持一个账户进行登录和操作，禁止其他人登录、操作，并对此账户进行风控，直到确认账户安全再让该账户继续活动。 

肯德基犯的错就在于，当相同账户名同时在两个客户端进行登录时和操作时，并没有踢掉其中一个，保证系统中只有唯一账户名存在，也没有同时对该账户进行风控，以保证账户安全。肯德基很有可能将两个客户端下的同一账户视为了两套账户体系下的账户。 

就好比一串11位的数字即有可能是QQ号也有可能是手机号，肯德基的系统将这一串11位的数字分别打上了不同的标签，却让它们登录、操作了同一个账户，由此才出现了数据不同步的漏洞。

问：这个漏洞会是普遍存在的吗？

小程序自出现以来，已经成为了我国数字社会中重要的组成部分。支付宝、微信都推出了小程序以进行App内生态建设。同时，不少企业也出于业务推广、获客需求推出了自己的App。肯德基只是这股风潮中的一个。 

那么问题来了，虽然可能性非常小，但是肯德基存在的账户管理问题有没有可能出现在其他企业身上，甚至于有没有可能出现在金融机构的身上？ 

当有人恶意的通过不同的客户端对具有因果关系的两个订单进行类似操作的时候，其他机构会不会也和肯德基一样发生损失呢？

本文由拉卡拉POS机办理中心整理，未经许可不允许任何形式的转载，本文唯一地址:https://www.zipos.cn/zhineng/8748.html，其他地址不完整的均为抄袭！POS机申请办理请添加客服微信号：