“漏洞”8小時 被薅“羊毛”千萬元

拼多多拒絕為“羊毛黨”買單 風控四大問題亟待解決

IT時報記者 章蔚瑋 圖 東方IC

羊毛黨最近將目光轉(zhuǎn)向了拼多多。

1月20日凌晨到上午9點，拼多多上演了一場“薅羊毛”的狂歡：一張百元無門檻的消費券隨便領，隨便使用，直至官方將此券緊急下架，但預計損失已達千萬元。

隨后，拼多多發(fā)布聲明，稱有“黑灰產(chǎn)通過平臺優(yōu)惠券漏洞不正當牟利”,目前，拼多多已報警，警方正在介入調(diào)查。據(jù)《IT時報》記者了解，利用優(yōu)惠券進行話費充值和購買Q幣的大部分拼多多用戶賬戶已經(jīng)被凍結，各地電信運營商也將配合警方調(diào)查，但拼多多能否順利追回損失？還沒那么快。

8小時損失千萬

據(jù)了解，這次被公然竊取的拼多多無門檻百元優(yōu)惠券屬特制優(yōu)惠券，根據(jù)拼多多官方說明，是此前與《非誠勿擾》合作時，為現(xiàn)場嘉賓生成的優(yōu)惠券，僅供現(xiàn)場嘉賓使用，“這個活動在去年就結束了?！?拼多多方面人士透露，這張優(yōu)惠券從未在任何時候、以任何方式出現(xiàn)在平臺正常的線上促銷活動當中，甚至從未有任何線上入口。

然而，1月20日凌晨1點，這張百元無門檻優(yōu)惠券悄然上線，很快話費充值和Q幣成了兌換的熱門產(chǎn)品。據(jù)拼多多公開說明，原本每個認證信息用戶只可領取一張無門檻100元優(yōu)惠券，但黑灰產(chǎn)團伙利用自己“養(yǎng)貓池”（用手機卡蓄養(yǎng)大量虛擬賬號），控制N張手機黑卡同時作業(yè)，批量盜取該種優(yōu)惠券，并通過手機話費、Q幣等虛擬充值的方式，試圖在短時間內(nèi)迅速轉(zhuǎn)移所得。

與此同時，20日凌晨5點，可領取這張優(yōu)惠券的二維碼開始出現(xiàn)在一批社區(qū)論壇中，吸引了一大批普通用戶涌入。拼多多風控團隊負責人表示，黑灰產(chǎn)團隊在盜取金額巨大的優(yōu)惠券并轉(zhuǎn)移后，迅速通過網(wǎng)絡和社交群將二維碼分享出去，達到“法不責眾”的效果。在《IT時報》記者采訪中，不少通過掃二維碼取得優(yōu)惠券的用戶基本用現(xiàn)金+優(yōu)惠券的形式充值了話費或者購買了Q幣，只有少量用戶購買了實物，“拿到優(yōu)惠券后，自己加了88元購買了200個Q幣”“47+優(yōu)惠券，買了150個Q幣”“用100+優(yōu)惠券充值移動200元話費”……

上午9點，當遭盜取優(yōu)惠券和正常優(yōu)惠券的總和突破平臺預設閾值，異常情況被系統(tǒng)監(jiān)控到并自動報警后，拼多多官方才發(fā)現(xiàn)漏洞，緊急修復，而此時，距離優(yōu)惠券上線已經(jīng)過去9個小時，拼多多預計涉案優(yōu)惠券總金額達數(shù)千萬元。

Q幣充值被凍結 手機充值尚待解決

截至發(fā)稿，上海警方已對該事件以“網(wǎng)絡詐騙”的罪名立案并成立專案組，并依據(jù)“財產(chǎn)保全”的相關規(guī)定，對涉事訂單進行批量凍結。其中平臺實物訂單都已經(jīng)凍結，賣家全部停止發(fā)貨，同時，據(jù)記者了解，不少電信運營商也接到了公安要求配合調(diào)查的協(xié)查令，將對利用優(yōu)惠券充值的款項進行凍結或追回，不過追討的技術難度不小。

有消息稱，一名廣東移動的用戶用拼多多優(yōu)惠券充值的200元話費在第二天就收到短信提示，成功取消充值。但這則消息尚未得到證實。

《IT時報》記者從上海某家運營商了解到，他們的確收到公安部門的協(xié)查令，但立即撤回或者取消用戶已完成的充值不會這么快，“拼多多上的充值商戶幾乎都是各家運營商的代理商，用戶沒有與運營商直接打通充值入口，因此需要追溯來源，流程比較復雜。”這位運營商人士透露，進行大規(guī)模的退款操作有非常嚴格的操作規(guī)范，首先要由各地方運營商的集團公司認可，因此不太可能在第二天就被取消。

拼多多表示，黑灰產(chǎn)業(yè)鏈條是利用“養(yǎng)貓池”批量盜取優(yōu)惠券。所謂養(yǎng)貓池，是指在同一臺機器上插入N張手機卡后統(tǒng)一刷取驗證碼，一般都會使用物聯(lián)網(wǎng)卡，以此逃脫實名制追查。但在上述電信運營商人士看來，“實名制”并不是關鍵，目前運營商也在對物聯(lián)網(wǎng)卡加大推行實名制，一旦拼多多通過監(jiān)控優(yōu)惠券流向鎖定號碼，運營商有能力追溯到具體號碼以及登記用戶，“關鍵要看拼多多是否能鎖定具體號碼以及實名制登記人與實際使用人是否為同一人?！?

不過，大量使用了優(yōu)惠券的真實消費用戶充值如何解決，目前，其所在電信運營商尚未給出明確方案。

大量使用優(yōu)惠券購買Q幣的用戶反映，目前的Q幣賬戶均已被凍結，但有一些人受到“無辜”牽連。一位用戶告訴記者，自己用一張優(yōu)惠券購買了200個Q幣，但賬戶內(nèi)原有的800個Q幣也一同遭到凍結，“不僅僅是拼多多的優(yōu)惠券，我自己也支付了錢一起購買的，如果是簡單粗暴地收回，那我的損失誰來賠償？”對此,QQ方面沒有做出官方回應。拼多多方面表示，這個凍結是根據(jù)警方調(diào)查需要進行的凍結，在調(diào)查結束后，會給用戶一個明確說法。

此前，東航訂票系統(tǒng)、騰訊充值系統(tǒng)等不少電商平臺都因系統(tǒng)差錯導致低價商品上線，并因此“砍單”，對此新出臺的《電商法》也進行了規(guī)定，其中四十九條規(guī)定，電子商務經(jīng)營者發(fā)布的商品或服務信息符合要約條件的，用戶選擇該商品或者服務并提交訂單成功，合同成立。要求電子商務經(jīng)營者不得以格式條款等方式，為自己的毀約行為制造借口，隨意“砍單”。拼多多此次對大規(guī)模使用優(yōu)惠券交易訂單強制取消和撤回是否屬于這一規(guī)定范疇？

在上海大邦律師事務所高級合伙人游云庭看來，拼多多此次發(fā)生的優(yōu)惠券遭竊后、強制凍結或取消消費者購物訂單的行為 ，符合《合同法》中五十四條規(guī)定：因重大誤解訂立的合同，當事人一方有權請求人民法院變更或者撤銷；在訂立合同時顯失公平的，一方以欺詐、脅迫的手段或者乘人之危，使對方在違背真實意思的情況下訂立的合同，受損害方有權請求人民法院或者仲裁機構變更或者撤銷?！啊逗贤ā放c《電商法》并不矛盾，起到一種補充的作用。但所有的凍結和撤銷，應當由法院來進行更合適?！庇卧仆ケ硎?。

四問拼多多風控

盡管事件起因是黑灰產(chǎn)利用拼多多平臺漏洞竊取價值等同現(xiàn)金的優(yōu)惠券，但作為平臺方，在漏洞被利用一直到修補漏洞，乃至產(chǎn)生重大損失，中間用了9個小時，由此折射出平臺在風控上存在的不足。

一位風控人士告訴記者，在大電商平臺的風控體系內(nèi)，對無門檻優(yōu)惠券的管理一直很重視。無門檻優(yōu)惠券等同于現(xiàn)金，因此上線前后都會有相配套的一系列防刷、防竊措施，“包括對單人領取券額的上限，消費優(yōu)惠券的品類（比如是否允許虛擬物品消費）等進行限制?！北M管此次拼多多優(yōu)惠券上線是被動的，但相配套的風控體系依然需要在事前進行完善。

此外，優(yōu)惠券上線后，平臺風控體系也應當及時采取監(jiān)控措施，包括對發(fā)放優(yōu)惠券的流向以及流量進行監(jiān)控，設置完善的報警閾值、失效機制、熔斷機制，“當大量優(yōu)惠券流向Q幣充值以及通信充值時，這些商品的GMV會出現(xiàn)環(huán)比異常， 如果立即制止，或許就不會出現(xiàn)凌晨5點的那波搶券潮了。”

在這位人士看來，拼多多事件折射出其風控體系至少存在四大問題：一、拼多多后臺有沒有對黑客的刷單進行基礎設置？為什么大量的黑客只要通過“貓池+腳本API”， 就能批量自動操作，以至于出現(xiàn)巨額損失？二、拼多多的風控體系中，有沒有對單人領取金額上限、券額上限以及消費領域（比如虛擬物品消費）等進行限制？為什么會出現(xiàn)大量黑客通過手機充值和購買Q幣，就能完成套現(xiàn)？三、拼多多的風控體系中究竟有沒有對平臺發(fā)放的優(yōu)惠券的流向以及流量進行監(jiān)控？為什么在事件發(fā)生后的幾個小時平臺系統(tǒng)才會有所反應？四、為什么整個平臺都沒能及時做出反應？當大量優(yōu)惠券流向Q幣充值以及通信充值時，這些商品的GMV會出現(xiàn)環(huán)比異常， 為什么拼多多會一再錯過掌控局面的最佳時機，以至于事件發(fā)展到難以收場的地步？

相關鏈接 電商平臺漏洞頻出

發(fā)優(yōu)惠券、打折讓利是各大電商平臺拉動流量的常用手法，活動很頻繁，但在風控上卻屢屢爆出漏洞。拼多多事件由于損失巨大，涉及人群較廣引起了外界的關注，但在此之前，類似的BUG在業(yè)內(nèi)已不算“新鮮”，不同平臺善后解決方法各有不同，有的主動買單，有的強制退回，但無論如何，平臺在風控上的“輕視”值得反思。

2018年元旦假日期間，騰訊視頻推出“9折開通騰訊視頻VIP”活動。活動當天，騰訊視頻服務器出現(xiàn)故障，9折充值活動變成0.1折，18元的騰訊視頻會員費直接變成了0.2元即可，且充值時長可累計疊加，據(jù)稱有人已經(jīng)將騰訊視頻會員“充值”到2055年。據(jù)統(tǒng)計，在服務器異常期間，因0.2元漏洞所產(chǎn)生的訂單數(shù)量達到了287萬筆，共有超過39萬名用戶利用漏洞成功付費，平均每人成功充值了7.3個月。2018年1月2日，騰訊緊急決定，將本次活動中扣費異常的訂單所涉資金全額退回。

2018年8月，由于特朗普加增關稅，土耳其匯率大跌，乘客在買機票時，利用攜程匯率結算系統(tǒng)沒實時更新，紛紛在攜程App上使用土耳其里拉購買南航機票，再從南航微信渠道進行退票，從中賺取差價，100萬人民幣約有17萬收益。隨后，攜程緊急關閉里拉支付通道，并向上海市長寧區(qū)警察局報案。

2018年11月，東方航空App網(wǎng)站凌晨出現(xiàn)BUG，國內(nèi)多條航線機票折扣幅度降低至0.4折，經(jīng)濟艙只需幾十元至幾百元即可乘坐，在完成漏洞修補的同時，東方航空表示售出機票全部有效。