两人发现快餐公司小程序漏洞，“薅羊毛”超100万元被批捕

两名男子利用手机小程序点餐漏洞，将优惠券代码转化为已支付的商品核销码，并开设网店“代下单”薅羊毛，非法获利100万余元。

3月12日，澎湃新闻记者从上海市公安局徐汇分局获悉该起案件。目前，该二人因涉嫌非法获取计算机信息系统数据罪被徐汇区检察院批准逮捕。

据上海徐汇警方介绍，此前，辖区内一家快餐公司负责人何先生至虹梅派出所报案，称该公司财务部门在对账时发现门店账单与服务商销售记录有较大的金额差异，经过对整个后台数据排查，发现有7万多个账号存在异常情况，给公司造成巨额损失。

犯罪嫌疑人进行接单。 本文图片均为 上海徐汇警方 提供

警方根据公司提供的账号信息，在掌握了大量确凿的证据后，前往外省市分别将犯罪嫌疑人王某和李某抓获。

到案后，犯罪嫌疑人王某、李某分别对自己的犯罪事实供认不讳。

犯罪嫌疑人编写脚本软件，自动完成相关订单服务。

王某交代，在使用该小程序订餐过程中，发现一个系统漏洞，可以将优惠券代码转化为已支付的商品核销码。自2024年5月起，王某利用系统漏洞将免费领取的优惠券转换为商品核销码，并在网上开设店铺，以“代下单”、“优惠券码”为名上架虚拟商品，后提供该商品电子核销码，以达到非法获利的目的。同时为了应对大量客户需求，王某还编写脚本软件，自动完成相关订单服务。截至案发，王某每单赚取10至30元的价格，累计非法获利90万余元。

犯罪嫌疑人被徐汇警方抓获。

李某表示和王某并不相识，其也是利用了系统漏洞，并采用相同手法，以每单赚取30元的价格，累计非法获利12万余元。

2025年1月10日，王某和李某因涉嫌非法获取计算机信息系统数据罪被徐汇区检察院批准逮捕。