“漏洞”8小時(shí) 被薅“羊毛”千萬(wàn)元

拼多多拒絕為“羊毛黨”買單 風(fēng)控四大問(wèn)題亟待解決

IT時(shí)報(bào)記者 章蔚瑋 圖 東方IC

羊毛黨最近將目光轉(zhuǎn)向了拼多多。

1月20日凌晨到上午9點(diǎn)，拼多多上演了一場(chǎng)“薅羊毛”的狂歡：一張百元無(wú)門檻的消費(fèi)券隨便領(lǐng)，隨便使用，直至官方將此券緊急下架，但預(yù)計(jì)損失已達(dá)千萬(wàn)元。

隨后，拼多多發(fā)布聲明，稱有“黑灰產(chǎn)通過(guò)平臺(tái)優(yōu)惠券漏洞不正當(dāng)牟利”,目前，拼多多已報(bào)警，警方正在介入調(diào)查。據(jù)《IT時(shí)報(bào)》記者了解，利用優(yōu)惠券進(jìn)行話費(fèi)充值和購(gòu)買Q幣的大部分拼多多用戶賬戶已經(jīng)被凍結(jié)，各地電信運(yùn)營(yíng)商也將配合警方調(diào)查，但拼多多能否順利追回?fù)p失？還沒(méi)那么快。

8小時(shí)損失千萬(wàn)

據(jù)了解，這次被公然竊取的拼多多無(wú)門檻百元優(yōu)惠券屬特制優(yōu)惠券，根據(jù)拼多多官方說(shuō)明，是此前與《非誠(chéng)勿擾》合作時(shí)，為現(xiàn)場(chǎng)嘉賓生成的優(yōu)惠券，僅供現(xiàn)場(chǎng)嘉賓使用，“這個(gè)活動(dòng)在去年就結(jié)束了?！?拼多多方面人士透露，這張優(yōu)惠券從未在任何時(shí)候、以任何方式出現(xiàn)在平臺(tái)正常的線上促銷活動(dòng)當(dāng)中，甚至從未有任何線上入口。

然而，1月20日凌晨1點(diǎn)，這張百元無(wú)門檻優(yōu)惠券悄然上線，很快話費(fèi)充值和Q幣成了兌換的熱門產(chǎn)品。據(jù)拼多多公開(kāi)說(shuō)明，原本每個(gè)認(rèn)證信息用戶只可領(lǐng)取一張無(wú)門檻100元優(yōu)惠券，但黑灰產(chǎn)團(tuán)伙利用自己“養(yǎng)貓池”（用手機(jī)卡蓄養(yǎng)大量虛擬賬號(hào)），控制N張手機(jī)黑卡同時(shí)作業(yè)，批量盜取該種優(yōu)惠券，并通過(guò)手機(jī)話費(fèi)、Q幣等虛擬充值的方式，試圖在短時(shí)間內(nèi)迅速轉(zhuǎn)移所得。

與此同時(shí)，20日凌晨5點(diǎn)，可領(lǐng)取這張優(yōu)惠券的二維碼開(kāi)始出現(xiàn)在一批社區(qū)論壇中，吸引了一大批普通用戶涌入。拼多多風(fēng)控團(tuán)隊(duì)負(fù)責(zé)人表示，黑灰產(chǎn)團(tuán)隊(duì)在盜取金額巨大的優(yōu)惠券并轉(zhuǎn)移后，迅速通過(guò)網(wǎng)絡(luò)和社交群將二維碼分享出去，達(dá)到“法不責(zé)眾”的效果。在《IT時(shí)報(bào)》記者采訪中，不少通過(guò)掃二維碼取得優(yōu)惠券的用戶基本用現(xiàn)金+優(yōu)惠券的形式充值了話費(fèi)或者購(gòu)買了Q幣，只有少量用戶購(gòu)買了實(shí)物，“拿到優(yōu)惠券后，自己加了88元購(gòu)買了200個(gè)Q幣”“47+優(yōu)惠券，買了150個(gè)Q幣”“用100+優(yōu)惠券充值移動(dòng)200元話費(fèi)”……

上午9點(diǎn)，當(dāng)遭盜取優(yōu)惠券和正常優(yōu)惠券的總和突破平臺(tái)預(yù)設(shè)閾值，異常情況被系統(tǒng)監(jiān)控到并自動(dòng)報(bào)警后，拼多多官方才發(fā)現(xiàn)漏洞，緊急修復(fù)，而此時(shí)，距離優(yōu)惠券上線已經(jīng)過(guò)去9個(gè)小時(shí)，拼多多預(yù)計(jì)涉案優(yōu)惠券總金額達(dá)數(shù)千萬(wàn)元。

Q幣充值被凍結(jié) 手機(jī)充值尚待解決

截至發(fā)稿，上海警方已對(duì)該事件以“網(wǎng)絡(luò)詐騙”的罪名立案并成立專案組，并依據(jù)“財(cái)產(chǎn)保全”的相關(guān)規(guī)定，對(duì)涉事訂單進(jìn)行批量?jī)鼋Y(jié)。其中平臺(tái)實(shí)物訂單都已經(jīng)凍結(jié)，賣家全部停止發(fā)貨，同時(shí)，據(jù)記者了解，不少電信運(yùn)營(yíng)商也接到了公安要求配合調(diào)查的協(xié)查令，將對(duì)利用優(yōu)惠券充值的款項(xiàng)進(jìn)行凍結(jié)或追回，不過(guò)追討的技術(shù)難度不小。

有消息稱，一名廣東移動(dòng)的用戶用拼多多優(yōu)惠券充值的200元話費(fèi)在第二天就收到短信提示，成功取消充值。但這則消息尚未得到證實(shí)。

《IT時(shí)報(bào)》記者從上海某家運(yùn)營(yíng)商了解到，他們的確收到公安部門的協(xié)查令，但立即撤回或者取消用戶已完成的充值不會(huì)這么快，“拼多多上的充值商戶幾乎都是各家運(yùn)營(yíng)商的代理商，用戶沒(méi)有與運(yùn)營(yíng)商直接打通充值入口，因此需要追溯來(lái)源，流程比較復(fù)雜?！边@位運(yùn)營(yíng)商人士透露，進(jìn)行大規(guī)模的退款操作有非常嚴(yán)格的操作規(guī)范，首先要由各地方運(yùn)營(yíng)商的集團(tuán)公司認(rèn)可，因此不太可能在第二天就被取消。

拼多多表示，黑灰產(chǎn)業(yè)鏈條是利用“養(yǎng)貓池”批量盜取優(yōu)惠券。所謂養(yǎng)貓池，是指在同一臺(tái)機(jī)器上插入N張手機(jī)卡后統(tǒng)一刷取驗(yàn)證碼，一般都會(huì)使用物聯(lián)網(wǎng)卡，以此逃脫實(shí)名制追查。但在上述電信運(yùn)營(yíng)商人士看來(lái)，“實(shí)名制”并不是關(guān)鍵，目前運(yùn)營(yíng)商也在對(duì)物聯(lián)網(wǎng)卡加大推行實(shí)名制，一旦拼多多通過(guò)監(jiān)控優(yōu)惠券流向鎖定號(hào)碼，運(yùn)營(yíng)商有能力追溯到具體號(hào)碼以及登記用戶，“關(guān)鍵要看拼多多是否能鎖定具體號(hào)碼以及實(shí)名制登記人與實(shí)際使用人是否為同一人?！?

不過(guò)，大量使用了優(yōu)惠券的真實(shí)消費(fèi)用戶充值如何解決，目前，其所在電信運(yùn)營(yíng)商尚未給出明確方案。

大量使用優(yōu)惠券購(gòu)買Q幣的用戶反映，目前的Q幣賬戶均已被凍結(jié)，但有一些人受到“無(wú)辜”牽連。一位用戶告訴記者，自己用一張優(yōu)惠券購(gòu)買了200個(gè)Q幣，但賬戶內(nèi)原有的800個(gè)Q幣也一同遭到凍結(jié)，“不僅僅是拼多多的優(yōu)惠券，我自己也支付了錢一起購(gòu)買的，如果是簡(jiǎn)單粗暴地收回，那我的損失誰(shuí)來(lái)賠償？”對(duì)此,QQ方面沒(méi)有做出官方回應(yīng)。拼多多方面表示，這個(gè)凍結(jié)是根據(jù)警方調(diào)查需要進(jìn)行的凍結(jié)，在調(diào)查結(jié)束后，會(huì)給用戶一個(gè)明確說(shuō)法。

此前，東航訂票系統(tǒng)、騰訊充值系統(tǒng)等不少電商平臺(tái)都因系統(tǒng)差錯(cuò)導(dǎo)致低價(jià)商品上線，并因此“砍單”，對(duì)此新出臺(tái)的《電商法》也進(jìn)行了規(guī)定，其中四十九條規(guī)定，電子商務(wù)經(jīng)營(yíng)者發(fā)布的商品或服務(wù)信息符合要約條件的，用戶選擇該商品或者服務(wù)并提交訂單成功，合同成立。要求電子商務(wù)經(jīng)營(yíng)者不得以格式條款等方式，為自己的毀約行為制造借口，隨意“砍單”。拼多多此次對(duì)大規(guī)模使用優(yōu)惠券交易訂單強(qiáng)制取消和撤回是否屬于這一規(guī)定范疇？

在上海大邦律師事務(wù)所高級(jí)合伙人游云庭看來(lái)，拼多多此次發(fā)生的優(yōu)惠券遭竊后、強(qiáng)制凍結(jié)或取消消費(fèi)者購(gòu)物訂單的行為 ，符合《合同法》中五十四條規(guī)定：因重大誤解訂立的合同，當(dāng)事人一方有權(quán)請(qǐng)求人民法院變更或者撤銷；在訂立合同時(shí)顯失公平的，一方以欺詐、脅迫的手段或者乘人之危，使對(duì)方在違背真實(shí)意思的情況下訂立的合同，受損害方有權(quán)請(qǐng)求人民法院或者仲裁機(jī)構(gòu)變更或者撤銷?！啊逗贤ā放c《電商法》并不矛盾，起到一種補(bǔ)充的作用。但所有的凍結(jié)和撤銷，應(yīng)當(dāng)由法院來(lái)進(jìn)行更合適?！庇卧仆ケ硎尽?/p>

四問(wèn)拼多多風(fēng)控

盡管事件起因是黑灰產(chǎn)利用拼多多平臺(tái)漏洞竊取價(jià)值等同現(xiàn)金的優(yōu)惠券，但作為平臺(tái)方，在漏洞被利用一直到修補(bǔ)漏洞，乃至產(chǎn)生重大損失，中間用了9個(gè)小時(shí)，由此折射出平臺(tái)在風(fēng)控上存在的不足。

一位風(fēng)控人士告訴記者，在大電商平臺(tái)的風(fēng)控體系內(nèi)，對(duì)無(wú)門檻優(yōu)惠券的管理一直很重視。無(wú)門檻優(yōu)惠券等同于現(xiàn)金，因此上線前后都會(huì)有相配套的一系列防刷、防竊措施，“包括對(duì)單人領(lǐng)取券額的上限，消費(fèi)優(yōu)惠券的品類（比如是否允許虛擬物品消費(fèi)）等進(jìn)行限制?！北M管此次拼多多優(yōu)惠券上線是被動(dòng)的，但相配套的風(fēng)控體系依然需要在事前進(jìn)行完善。

此外，優(yōu)惠券上線后，平臺(tái)風(fēng)控體系也應(yīng)當(dāng)及時(shí)采取監(jiān)控措施，包括對(duì)發(fā)放優(yōu)惠券的流向以及流量進(jìn)行監(jiān)控，設(shè)置完善的報(bào)警閾值、失效機(jī)制、熔斷機(jī)制，“當(dāng)大量?jī)?yōu)惠券流向Q幣充值以及通信充值時(shí)，這些商品的GMV會(huì)出現(xiàn)環(huán)比異常， 如果立即制止，或許就不會(huì)出現(xiàn)凌晨5點(diǎn)的那波搶券潮了?！?/p>

在這位人士看來(lái)，拼多多事件折射出其風(fēng)控體系至少存在四大問(wèn)題：一、拼多多后臺(tái)有沒(méi)有對(duì)黑客的刷單進(jìn)行基礎(chǔ)設(shè)置？為什么大量的黑客只要通過(guò)“貓池+腳本API”， 就能批量自動(dòng)操作，以至于出現(xiàn)巨額損失？二、拼多多的風(fēng)控體系中，有沒(méi)有對(duì)單人領(lǐng)取金額上限、券額上限以及消費(fèi)領(lǐng)域（比如虛擬物品消費(fèi)）等進(jìn)行限制？為什么會(huì)出現(xiàn)大量黑客通過(guò)手機(jī)充值和購(gòu)買Q幣，就能完成套現(xiàn)？三、拼多多的風(fēng)控體系中究竟有沒(méi)有對(duì)平臺(tái)發(fā)放的優(yōu)惠券的流向以及流量進(jìn)行監(jiān)控？為什么在事件發(fā)生后的幾個(gè)小時(shí)平臺(tái)系統(tǒng)才會(huì)有所反應(yīng)？四、為什么整個(gè)平臺(tái)都沒(méi)能及時(shí)做出反應(yīng)？當(dāng)大量?jī)?yōu)惠券流向Q幣充值以及通信充值時(shí)，這些商品的GMV會(huì)出現(xiàn)環(huán)比異常， 為什么拼多多會(huì)一再錯(cuò)過(guò)掌控局面的最佳時(shí)機(jī)，以至于事件發(fā)展到難以收?qǐng)龅牡夭剑?/p>

相關(guān)鏈接 電商平臺(tái)漏洞頻出

發(fā)優(yōu)惠券、打折讓利是各大電商平臺(tái)拉動(dòng)流量的常用手法，活動(dòng)很頻繁，但在風(fēng)控上卻屢屢爆出漏洞。拼多多事件由于損失巨大，涉及人群較廣引起了外界的關(guān)注，但在此之前，類似的BUG在業(yè)內(nèi)已不算“新鮮”，不同平臺(tái)善后解決方法各有不同，有的主動(dòng)買單，有的強(qiáng)制退回，但無(wú)論如何，平臺(tái)在風(fēng)控上的“輕視”值得反思。

2018年元旦假日期間，騰訊視頻推出“9折開(kāi)通騰訊視頻VIP”活動(dòng)?；顒?dòng)當(dāng)天，騰訊視頻服務(wù)器出現(xiàn)故障，9折充值活動(dòng)變成0.1折，18元的騰訊視頻會(huì)員費(fèi)直接變成了0.2元即可，且充值時(shí)長(zhǎng)可累計(jì)疊加，據(jù)稱有人已經(jīng)將騰訊視頻會(huì)員“充值”到2055年。據(jù)統(tǒng)計(jì)，在服務(wù)器異常期間，因0.2元漏洞所產(chǎn)生的訂單數(shù)量達(dá)到了287萬(wàn)筆，共有超過(guò)39萬(wàn)名用戶利用漏洞成功付費(fèi)，平均每人成功充值了7.3個(gè)月。2018年1月2日，騰訊緊急決定，將本次活動(dòng)中扣費(fèi)異常的訂單所涉資金全額退回。

2018年8月，由于特朗普加增關(guān)稅，土耳其匯率大跌，乘客在買機(jī)票時(shí)，利用攜程匯率結(jié)算系統(tǒng)沒(méi)實(shí)時(shí)更新，紛紛在攜程App上使用土耳其里拉購(gòu)買南航機(jī)票，再?gòu)哪虾轿⑿徘肋M(jìn)行退票，從中賺取差價(jià)，100萬(wàn)人民幣約有17萬(wàn)收益。隨后，攜程緊急關(guān)閉里拉支付通道，并向上海市長(zhǎng)寧區(qū)警察局報(bào)案。

2018年11月，東方航空App網(wǎng)站凌晨出現(xiàn)BUG，國(guó)內(nèi)多條航線機(jī)票折扣幅度降低至0.4折，經(jīng)濟(jì)艙只需幾十元至幾百元即可乘坐，在完成漏洞修補(bǔ)的同時(shí)，東方航空表示售出機(jī)票全部有效。