亚太日报
关闭

亚太日报APP, 全新登场!

点击下载

拼多多现重大BUG,一夜被薅走羊毛200亿?官方回应

时讯

2019-01-21 16:32

从今日凌晨开始,拼多多平台出现系统漏洞,用户可以领取100元无门槛券。因此开始出现大批用户借此“薅羊毛”,利用无门槛券下单虚拟商品,例如充话费或Q币等等,并一度有消息传出,拼多多将因此损失200亿元。

1月20日凌晨,拼多多App因技术漏洞,用户可以领取100元无门槛券。这个消息迅速在“薅羊毛群”散开,大批用户开始用无门槛券充值话费、Q币,购买商品等等。

网络截图显示,有人充的话费已够用10几年,还有人晒图表示已买了90多万元Q币。

昨天早上,拼多多发声明称:被盗取数千万平台优惠券,第一时间修补了漏洞,目前已经报案,正对涉事订单进行溯源追踪。

多多要求,使用了100元无门槛券的商品,所有商家不要发货,平台会给消费者补偿5元无门槛券。还有网友表示,目前账户内的100元无门槛券已被拼多多官方回收。

有网友发现,自己利用领取的100元无门槛优惠券购买的商品已被拼多多单方面关闭订单(实物订单),并退回了已支付金额。拼多多公告称,平台消费者原本正常领取的优惠券不受影响。

律师称或涉及不正当得利

目前来看,拼多多方面已经报警,公安机关已经介入调查。拼多多方面告诉《证券日报》记者,“有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。”拼多多相关新闻发言人则表示:“没想到在系统没有任何数据安全漏洞的情况下,灰黑产还能利用规则漏洞薅走总价值数千万元的优惠券。”

至于如何看待用户薅羊毛行为,拼多多方面表示,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。“同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。目前平台正对涉事订单进行溯源追踪,并将根据警方调查结果对相关订单做出最终处理。”拼多多方面如是说。

上海创远律师事务所高级合伙人许峰对《证券日报》记者介绍,如何定义此次拼多多用户“薅羊毛”的行为,还要看拼多多方面的用户协议是如何约定的。许峰律师解释,如果是平台合理的让利,那么用户“薅羊毛”是合情合理的。至于通过“薅羊毛”手段获利上万元甚至十几万元,“那么用户也不会认为是正常让利,可能属于不正当得利。”

事实上,拼多多方面早已将借助平台漏洞获利等相关事宜列入协议。《证券日报》记者查阅拼多多服务协议了解到,协议中用户守则中明确将“使用拼多多平台外挂和/或利用拼多多平台当中的BUG来获得不正当的利益”列为禁止行为。

参与此次“薅羊毛”行动的似乎并不仅仅为个人消费者。据拼多多方面告诉《证券日报》记者,个人消费者之外,黑产机构亦涉及其中。

涉及黑产机构或将拼多多被薅羊毛一事变得更加复杂。许峰律师告诉记者,如果确实有黑产机构牵涉其中,或者涉及计算机犯罪,那么案情将变得更为复杂,需要公安介入追踪。但如果“纯粹只是拼多多方面的失误,那么只能自己和用户去处理。”

羊毛党的反击:请拼多多履行合同义务

但是,许多参与薅羊毛”的网友并不认可拼多多“打击网络黑灰产团伙”的观点,纷纷在拼多多官微留言质疑拼多多搞虚假营销。

更有网友对拼多多单方面关闭订单拒绝发货的行为,表示要进行索赔。

但拼多多这次是营销吗?拼多多具体被薅走了多少羊毛,公众暂时不得而知。如果此次事件造成股价大跌,哪怕跌10%,拼多多市值将蒸发26亿多美元,这样的营销就太昂贵了。

如果拼多多赖账,联手腾讯追回已售出的Q币金额,可能品牌损失更大,因为除了职业羊毛党,还有许多普通用户也参与了活动。

毕竟腾讯是拼多多第二大股东,腾讯控股持有拼多多7.86亿股,占比17.8%。在品牌与钱之间,腾讯又将作何选择?

或许拼多多并不会公布最终的损失数据,但是此事却凸显了平台风控技术存在的弱势。拼多多财报数据显示,在2018年第三季度,拼多多营业总费用为38.67亿元,相比去年同期大增722%。

细分情况如下:销售费用为32.296亿元,相比2017年同期4.279亿元增加655%,主要是由于品牌推广活动和线上线下广告和促销活动的增加。研发费用为3.32亿元,相比2017年同期0.358亿元增加828%。

显然,与高昂的营销广告成本相比,拼多多投入的技术研发费用可为杯水车薪。因此,风控系统出现危机并不意外。

电商平台的那些 bug

事实上,类似的电商平台 bug 先例不在少数。

比如 2018 年,魅族官方预告了一款新品,并为粉丝送出了福利,前 100 名预购的朋友可享受福利价,只需要 0.5 元就可以购买,先到先得。但发售后发现,近千人下单金额都是 0.5 元,最后魅族官方发现 bug 并修复。官方也对此事进行了回应,他们表示,对于已经下单成功的用户,魅族将正常发货,且货品和正品无异,至于相关售后问题,用户可正常享有魅族商城的售后服务。

类似事件也有不少,一般都是电商平台自掏腰包打落牙齿和血吞。

薅羊毛背后的网络黑产

黑产的现状及常用的盈利手段是什么?

这里给出三个数字:

第一个数字是 150 万,这是 2017 年网络安全生态峰会上评估出的黑产从业人员的人数。跟这个人数相比,目前业界顶尖公司中安全从业人员最多不过千余人,与黑产对比可谓凤毛麟角。

第二个数字是千亿,这是网络安全生态峰会上评估的黑产年产值。根据 2017 年的腾讯阿里两家巨头的财报,两家公司净利润总和接近千亿元,黑产的年产值基本可以与这两家巨头公司并驾齐驱。

第三个是 20%,这是根据我们之前经验评估的营销活动的资损率。举例来说比如要做一个新注册的拉新活动,投了 100 万去吸引用户,最后会发现至少有 20 万会进入到黑产的口袋里。

黑产的盈利场景是什么?

第一种是撞库,就是把其他平台泄露的一些用户名和密码,不停地拿到另外一些平台上去试,如果登录成功之后首先会窃取账号内的资产信息,之后会使用窃取的账号去做一些薅羊毛等相关的事情。

第二种是垃圾注册,黑产要盈利必须要有海量的帐号,黑产会注册成千上万个小号来为后续的活动进行准备,这是万恶之源。