发量不多程序猿 (@faliangbuduo)卧槽,昨天晚上 10 点客户打电话说被人刷走了 1W 块钱 中发帖

客户有个小程序,有个提现功能,刚开始说一些用户没有订单但是提现了 200 块,让我查查怎么回事,接着发了几张后台的提现记录表,大概 1W 多块吧,都是 200 199 的,因为商户转账大笔最高 200,一天 2000. 
第一反应,擦,提现 API 有故障了,紧急停了(其实无所谓了,余额已经被刷完了)。
查日志,确实发现了有几十条后台修改余额的操作,IP 来自新加坡,日本这些海外。
半个小时后,客户说应该是后台管理员的账号密码泄露了,紧急把后台登录改为手机号+验证码,好吧,改这个功能,挣他个1000 块,不过分吧