一个被解雇的员工,一个月后大摇大摆走回老东家,从收银机里"刷"走了8万美元。没人拦他,系统没报警,直到老板查账才发现。
离谱操作:800份通心粉,全部退到自己卡上
美国得州葡萄藤市警方公布的案情细节,堪称"内部人作案"的经典教案。
2025年11月,Keyshun Jones走进自己曾工作的Chick-fil-A门店。此时他已被解雇一个月,但显然还留着某种权限——或者根本没人注意他。
监控拍到的画面:他打开收银机,录入800份通心粉奶酪托盘订单,然后全部操作退款。退款去向?他个人的信用卡。
单笔金额不大,但800笔叠加,总额超过8万美元。
这套操作的核心漏洞在于:退款流程不需要二次审核,也不需要原支付渠道验证。一个前员工,用最基本的收银权限,就能把钱"洗"进自己账户。
系统盲区:为什么没人发现?
更值得追问的是时间线。
Jones在11月完成全部操作,但直到物业所有者Jarvis Boyd向警方报案,事情才暴露。警方记录显示,同月启动调查,但多次抓捕未果。
从2025年11月到2026年4月,整整五个月,这位"退款大师"在外自由活动。最终落网靠的是得州总检察长 fugitive 特别工作组和沃斯堡警局的联合行动,而非门店自身的风控机制。
Chick-fil-A以"my pleasure"服务文化著称,但显然,其后端系统的"防 pleasure"能力相当薄弱。
几个明显的问题:
• 员工离职后,收银权限为何未即时注销?
• 单日/单人多笔退款为何没有触发预警?
• 退款金额与原始支付渠道不匹配,系统为何不拦截?
这些不是技术难题,是流程设计的选择。快餐行业人员流动率高,权限管理往往是"能省则省"的灰色地带。
行业通病:收银系统的"信任假设"陷阱
这件事暴露的是零售业的系统性懒惰。
大多数POS(销售终端)系统的设计逻辑建立在"前台可信"的前提上——收银员是自家员工,不会乱来。但这套假设忽略了两个现实:离职人员权限残留、在职人员临时起意。
更深层的问题是数据孤岛。收银数据、库存数据、财务对账,往往分属不同系统,不同部门。800份通心粉被"卖出"又"退掉",库存端可能毫无波动,财务端却真金白银流出。没有交叉验证,漏洞就成了暗道。
Jones选择的商品也有讲究:通心粉奶酪托盘,属于 catering(团餐)品类,单价高、订单频次低、退款理由容易编造("客户取消")。相比汉堡薯条,这类商品更容易在数据海洋中隐身。
法律后果:从盗窃到洗钱,罪名层层加码
目前Jones面临三项指控:财产盗窃、洗钱、逃避逮捕。
最后一项最讽刺——他不是因为系统报警被抓,是因为警察"多次尝试"后终于得手。如果当初门店有实时风控,这笔钱可能根本转不出去;如果有即时权限冻结,他连收银机都打不开。
警方将此案定性为"active investigation"(活跃调查),更多细节待披露。但已有的信息足够说明:一家年营收数十亿美元的连锁快餐品牌,其单店风控水平可能还不如社区便利店。
给从业者的三个提醒
如果你负责零售系统的产品或运营,这件事至少有三个 actionable(可执行)的教训:
1. 权限即债务。员工离职当日,所有系统访问必须物理切断,而非"走流程"。Jones能操作,说明要么权限未回收,要么账号共享——两种都是灾难。
2. 退款需要"双因子"。金额阈值以上,或频次异常时,强制要求第二人审批,或原支付渠道验证。技术成本很低,信任成本很高。
3. 监控要"讲人话"。800笔退款,系统日志里肯定有。但日志不等于预警。关键指标需要翻译成业务语言,推送给能行动的人。
快餐行业的数字化,前端是自助点餐、移动支付,后端往往还是Excel对账、人工抽查。这种"头重脚轻"的结构,遇到有心人就变成提款机。
Jones的"my pleasure"式自嘲,大概是整个事件最黑色幽默的部分。但更黑色的是:同样的漏洞,此刻可能正在 thousands of(数千家)门店里安静运行,等待下一个"聪明人"。
热门跟贴