2022年12月17日 星期六

發現露天拍賣的bug,希望露天拍賣的老闆頒發漏洞獎金給我。

事情是這樣的。


有天閒閒無事,想買東西,於是上露天網站看看。

看到喜歡的東西,於是就開始結帳,結帳到信用卡要驗證簡訊時,突然反悔了,所以就沒有輸入驗證碼了,過個大約五分鐘,系統就判定這筆訂單不成立。

到這裡都是一般的流程,沒甚麼特殊的。

贊助商連結1


贊助商連結1

接下來詭異的事情發生了。


到下午時,系統傳來賣家已經出貨通知。當時我心想,系統都已經取消交易了,賣家是要怎麼出貨。就算他拿貨去超商寄貨,應該也會不給寄貨,因為條碼刷不過吧?就算超商收件了,電腦系統再怎麼慢,等一兩天後到達指定超商的時候,電腦系統應該就會發現錯誤了吧?也不可能通知我去取件吧?






但事情就這麼巧合。真的就這麼巧合。還是說真的是露天大漏洞。

因為最近有露天拍賣免運優惠,所以我這幾天買了好多東西。所以當收到到貨簡訊的時候,我根本不會去對訂單號碼,一次都兩三件取回。等到我一件件打開了,等到打開其中一件,突然想起來幾天前,我不是已經取消這個訂單了嗎?回到網頁一查,真的是取消的狀況。



贊助商連結2


贊助商連結2


所以換句話,這整個交易流程有瑕疵ㄟ~

第一點
取消交易的訂單,只要有出貨單號,賣家就可以去超商寄貨。
(OS:露天拍賣的人不覺得奇怪嗎?已取消的訂單怎麼可以出貨呢?)

贊助商連結3


贊助商連結3


第二點
賣家只要去超商寄貨,到貨後露天系統一樣會發簡訊給取消訂單的買家。
(OS:都過了那麼多天了,取消交易的貨到貨,發甚麼簡訊!?不過也怪我,一次來三封到貨簡訊,都不仔細比對單號。)

第三點
即使取消的訂單,買家一樣可以取貨,即使這中間過了3~5天。
(OS:都怪我不要一次買太多件!領貨也不去對那小小的單號)




贊助商連結4


贊助商連結4


第四點
講這個,對某些人有高興的感覺。我從頭到尾沒付到半毛錢就拿到這東西再說一次我從頭到尾沒付到半毛錢就拿到這東西,你說這個問題是不是很大。搞到後來買家變成詐欺和侵占ㄟ。

當然有些人會認為,不是你的包裹你幹嘛要領。但包裹確實是我的名字,只差在我取貨當下沒仔細比對長長又細小的訂單號碼,造成誤領。

所以我當下也馬上寫信去露天拍賣客戶,和對方mail聯絡。


當我發現領到取消訂單包裹後,我先寫信給露天。

猜猜露天怎麼回我的?




贊助商連結5


贊助商連結5


您好:
感謝您的來信,
由於露天市集僅提供交易平台,商品出貨皆由賣家進行管理,
關於您的問題,建議您可先透過露露通與賣家聯繫確認出貨狀況及後續處理方式。

如果仍有其他問題,歡迎與露天客服聯絡,謝謝。

這封信的意思就是不關露天的事喔?你自己去跟賣家喬吧!~

甚麼跟甚麼嘛?據我個人所知,依照目前露天拍賣免運促銷方案,賣家付出的成本是售價的8%,也就是客戶買200元的東西,賣家要付出16元的手續費。這個費率我覺得是滿高的,因為賣家有可能只賺40元(我假設賣家賺2成),但是要扣掉16元給露天(活動服務費10元、金流服務費2元、成交手續費4元),所以賣家只賺24元。

假如我退貨的話,賣家還要再吸收運費60元。可憐的賣家呀~

看到上述內容,你會不會很想去幹譙客服。等等,自己先上官網看看。

https://www.ruten.com.tw/help/buyer/buyer-refund/2514/



看完以後覺得不是客服的問題,是這露天拍賣這家公司的SOP有問題,交易流程有問題,賣家取消訂單後可以不花一毛錢收到貨


贊助商連結6


贊助商連結6


接著再來記錄我和賣家之間的溝通。我一開始是用露天拍賣的露露通留言,這是露天拍賣買家和賣家之間一個專屬的及時通訊軟體。

在露露通我向對方說明了狀況。等.....等了三天後,終於按耐不住,還是寫了一封電子郵件給對方,終於等到第五天,對方在露露通回應了,對方是家公司,首先感謝我的通知,說是要找貨運安排取回貨品。

寫到這裡我還是忍不住要酸露天拍賣一下,你知道露露通甚至露天拍賣都快要沒人用或著不知道怎麼用了嗎?

這個廠商為何那麼久沒回我訊息呢?所以我調查了這個廠商的基本資料,這個廠商是專業的廠商,只賣單一類別產品,加入露天大約是16年,評價是5,評價有將近2萬筆正面評價,實際賣出的東西一定超過2萬。

那為何賣家不常登入露天拍賣或著不太知道如何使用露天拍賣的系統(有訊息沒看??只知道出貨??客戶取消了看不懂??)我百思不得其解???

後來GOOGLE一下就找到答案,這個賣家加入蝦皮僅僅六年,比露天拍賣少10年,創造出來的評價和交易次數遠遠超出露天拍賣。所以人家的主力當然放在蝦皮拍賣呀!因為人家的主力放在蝦皮拍賣呀!果然印證大家網路常看到的,現在誰還用露天呀?大家都用蝦皮拍賣了~蝦皮客服必須隨時上線,系統必須熟練,露天客服找兼職就可以,系統看不懂沒關係,三天登入一次就可以。

寫到這裡有很深的感觸呀~當年的雅虎拍賣、E-BAY、、、等等,為何會沒落?下一個會是哪家公司呢?

其實公司和人一樣有分三種,先知先覺、後知後覺、不知不覺,我覺得我和賣家在這件事情上面算是後知後覺,露天拍賣病得比較嚴重是不知不覺,天哪~公司請那麼多人,都沒人發現問題~還是有問題也不想改嗎?

個人認為,組織變大產生僵化在所難免,尤其是一些薪資福利、獎金和社會平均相比偏弱的公司組織,既有的員工只能做本來應徵的工作內容,根本無法提出改善的方法,這時改善的重點是要引進外部力量,吸收外部意見,不能給固定制度、思維盤據,不然沒辦法進步。像是我這篇標題提到漏洞獎金(Bug bounty program)之類就是屬於外部提案的方法,建議露天拍賣也是可比照國外公司,像是Google、Microsoft、Apple、Facebook、Line、Synology Inc.群暉科技、、等等,提供類似抓漏獎金給提議的使用者,像是我這種。

當然上述漏洞獎金是比較偏向資安的部分,但實際我發現的問題是比較偏向訂單與貨運系統各自為政,屬於電腦流程上的漏洞,但我也可以說是教你如何在露天拍賣不花一毛錢也可以拿到東西的技巧,這對於拍賣網站也是一大漏洞呀~

但老實說,如果你照我的方法確實是不用花錢拿到東西,但是你是會被賣家告的,像是侵占之類,想想看台灣是有法律的,你拿你的證件去超商取貨,卻又不付錢,這樣就已經觸法了,跟你有無取消訂單無關,想想看你雖然沒要買東西,突然有人送貨到你家,你可以免費爽爽用,卻不用付錢,你想這樣可能嗎????所以你千萬、千萬....不要傻傻地學我這樣做去以身試法,我會寫在網路上是因為露天拍賣官方一副事不關己的回信(PS.明明沒有完成交易的訂單,賣家卻可以正常出貨????)以及希望露天拍賣自己可以振作起來不要被蝦皮拍賣給打敗,並不是鼓勵大家這樣做。

話說回來,其實露天拍賣這幾年來在資安上努力也是不可抹滅的,根據警方2023公布的高風險賣場前五名為「博客來網路書店」「旋轉拍賣」「蝦皮拍賣」「誠品書局」及「迪卡儂」,同類型的蝦皮拍賣已經榜上有名的高風險賣場了,所以露天拍賣在資安上面算是不錯了。(相關文章:2022年度5大高風險賣場 博客來、蝦皮、 迪卡儂都上榜)


說了那麼多,露天拍賣倒底要不要分我獎金呀~



相關文章











4 則留言:

  1. 這洞我知道、早在更久前、我被騙了很多錢、但我卻要蒙受自導自演的委屈、

    回覆刪除
    回覆
    1. 辛苦了。看看消基會有無辦法忙了。但我運氣好,沒有甚麼糾紛產生。

      刪除
  2. 我是賣家。不列入消保保護範圍
    就算消保出手、只要不去、台灣沒有一條法則能做什麼

    回覆刪除
    回覆
    1. 看來只能看看露天何時改進了,畢竟我的狀況是交易根本未完成(我連信用卡驗證碼都還沒輸入),賣家竟然有出貨單號可以直接到超商出貨???

      刪除

感謝各位大大的留言,如果問題不會太過艱深困難的話,我會儘快回覆您訊息, (^.^)/~
ps.可以匿名留言,但垃圾留言太多,所以啟用留言管理。所有留言都必須經過網誌作者核准。