事情是这样的,在我所在的一个程序售后群里,突然有人晒了一张关于"易支付 sq|注入测试”的截图,截图里面的内容是某某网站所用的支付接口被 sq|注入,然后改了订单回调导致支付成功。后续有群友通过截图里的"tq 机器人"名字找到了这个工具的 tg 号,然后就一传十,十传百,百传千,经过后续别人测试自己的网站或者测试同行的网站发现只要是用了这款程序的电商平台,发卡平台无一幸免都会被注入且回调成功。
现在的情况就是成千上万对接了这款程序支付接口的网站都被撸了羊毛,其他程序也有这种情况,只不过这款程序的情况比较严重,tq 机器人的作者在频道里号称通杀该程序所有版本。
遭受羊毛党比较严重的平台是那些所谓的卡盟,卡商,因为他们都是代理的总平台,然后往里面预充了很多钱,所以羊毛党可以操作完平台的支付回调之后随心所欲的购买那些[自动到账]的会员,居群里被撸的同行说有的被撸了几千,有的被撸了几万,现在程序的开发者给出的建议是关站,等解决了 sql 注入的问题使用新版本之后再开站。
我粗略的算了下 这次事件受到波及的网站很多,损失的金额能起码超过百万
1
zhw2590582 78 天前 3
是不是也简称 π 事件
|
2
BigBai 78 天前
牛批 666
|
3
HitouchiMi 78 天前 via Android 1
2024 年,听到 SQL 注入,有种恍如隔世之感
|
4
wetalk 78 天前 1
祖传代码
|
5
Motorola3 OP @HitouchiMi 毕竟易支付那套东西很老了 而且网上充斥着各种二开和开心版
|
6
cktsun 77 天前 via Android
那些站賣的東西也是不合法的, 他們有本事就報警, 執法機關最好一鍋端, 世界清淨
|
7
justfun 77 天前
|
8
woody3rd 77 天前
这有点离谱
|
9
gregy 77 天前
这种支付平台算是第四方清算吧,他们没有做清算的资质,本来就是被打击的灰色产业。有些还用个人收款码跑分。
这种黑吃黑的操作警察叔叔会管么?这种平台一撸就是一串,从支付平台的站长到发卡平台的站长都跑不了。 太 TMD 吓人了 |
10
cherryas 77 天前
还记得拼多多刷 q 币事件吗? 这种不是说支付成功就成功了,后续可以人为退回,肉身国内胆子太大的估计要进局子,实际影响没有多大。
|
11
sdjl 77 天前 1
会不会写漏洞的人和利用漏洞的人是同一个人? 一种新的盈利模式?
|
12
archxm 77 天前
@HitouchiMi 没法完美解决的
|
13
SilentOrFight 77 天前
都是黑吃黑,正规平台的没人敢撸。以前腾讯游戏搞那些外挂灰产都是故意养肥了等涉案金额高了再收集证据报警抓人
|
14
fulajickhz 77 天前
|
15
fulajickhz 77 天前
楼上的文章里,有站长被撸 1 一个亿
站长都这么有钱的吗 |
17
lstz 77 天前 via Android
什么年代了,怎么还有 sql 注入....
|
19
majiajia 77 天前
今天上午在一个机场下单,好几次支付网站都无法打开,到中午才好,不知道是不是也跟这个有关
|
21
0xy63n 77 天前
[易宝支付] 和 [易支付] 有关系吗
|
23
eughplease 76 天前 via iPhone
omg
|
24
sanebow 75 天前 via iPhone
看了一眼,漏洞挺明显的,很有可能是开发者留的后门。压根不是 SQL 注入,这个 tg 机器人故意误导,增加其他人找漏洞的难度。这类系统问题很多,以后再出这种事件也不意外。
|
26
yyj08070631 75 天前
@gregy 这不还是自己做收单了,如果没收单牌照应该是不合法的,只是规模小的没人会管罢了
|
27
Motorola3 OP @yyj08070631 这也不是自己做收单啊,这属于是 wx zfb 哪里做一下认证 然后还是要背靠一个收单机构的 只要用的不是码支付
|