大学生利用漏洞薅肯德基羊毛，获刑两年半-技术圈

技术编辑：小魔丨发自思否编辑部

公众号：SegmentFault

日前，#大学生利用肯德基漏洞诈骗 20 余万元# 的话题出现在微博热搜榜，引起大量关注。

据悉，在校大学生徐某利用肯德基 APP 客户端和微信客户端之间数据不同步的漏洞，骗取兑换券或取餐码，出售给他人牟利，并将该方法传授给同学，给肯德基所有者百盛公司造成 20 余万元的损失。

近日，上海市徐汇区人民法院开庭审理了该案，徐某等五人因犯诈骗罪、传授犯罪方法罪被判有期徒刑两年六个月至一年三个月不等并处罚金的刑罚。

肯德基系统出 bug，大学生钻漏洞，被判诈骗罪

2018 年 4 月，江苏某大学在校生徐某在利用肯德基客户端点餐过程中，无意间发现了两个漏洞。

第一个是在 APP 客户端用套餐兑换券下单，进入待支付状态后暂不支付，之后在微信客户端对兑换券进行退款操作，然后再将之前客户端的订单取消，可以重新获取兑换券。此种方式分文未付即可获取一份兑换券。

第二个是先在 APP 客户端用套餐兑换券下单待支付，在微信客户端退掉兑换券，再在 APP 客户端支付，这时便可以支付成功并获得取餐码。此种方式相当于分文未付骗取了一份套餐。

在发现肯德基的系统漏洞后，徐某将以这两种方式得来的套餐产品通过线上交易软件低价出售给他人，从中非法获利；同时将该方法传授给丁某等 4 名同学。

截至同年 10 月案发，徐某的行为造成百盛公司损失 5.8 万余元，丁某等四人造成百盛公司损失 0.89 万元至 4.7 万元不等。

上海市徐汇区人民法院审理后认定各被告人明知百胜公司旗下品牌肯德基 APP 客户端和微信客户端自助点餐系统存在数据不同步的漏洞，仍以非法占有为目的，进行虚假交易，进而非法获取财物的行为为诈骗罪。

根据被告人犯罪的事实、性质、情节和对于社会的危害程度，徐汇法院依法认定徐某犯诈骗罪，判处有期徒刑二年，并处罚金人民币六千元；犯传授犯罪方法罪，判处有期徒刑十个月，决定执行有期徒刑二年六个月，并处罚金人民币六千元。丁某等四人皆因相同案由被分别认定为诈骗罪或诈骗罪、传授犯罪方法罪，分别被判处有期徒刑两年至一年三个月，并处罚金人民币四千元至一千元不等的刑罚。

《中华人民共和国刑法》相关法条如下：