事情是这样的,在我所在的一个程序售后群里,突然有人晒了一张关于"易支付 sq|注入测试”的截图,截图里面的内容是某某网站所用的支付接口被 sq|注入,然后改了订单回调导致支付成功。后续有群友通过截图里的"tq 机器人"名字找到了这个工具的 tg 号,然后就一传十,十传百,百传千,经过后续别人测试自己的网站或者测试同行的网站发现只要是用了这款程序的电商平台,发卡平台无一幸免都会被注入且回调成功。
现在的情况就是成千上万对接了这款程序支付接口的网站都被撸了羊毛,其他程序也有这种情况,只不过这款程序的情况比较严重,tq 机器人的作者在频道里号称通杀该程序所有版本。
遭受羊毛党比较严重的平台是那些所谓的卡盟,卡商,因为他们都是代理的总平台,然后往里面预充了很多钱,所以羊毛党可以操作完平台的支付回调之后随心所欲的购买那些[自动到账]的会员,居群里被撸的同行说有的被撸了几千,有的被撸了几万,现在程序的开发者给出的建议是关站,等解决了 sql 注入的问题使用新版本之后再开站。
我粗略的算了下 这次事件受到波及的网站很多,损失的金额能起码超过百万
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.