1月21日消息,從昨日凌晨開始,拼多多平臺出現系統漏洞,用戶可以領取100元無門檻券。因此開始出現大批用戶藉此“薅羊毛”,利用無門檻券下單虛擬商品,例如充話費或Q幣等等,並一度有消息傳出,拼多多將因此損失200億元。
針對此事,拼多多先後發佈了兩則官方聲明。拼多多方面回應,1月20日晨,有黑灰產團伙通過一個過期的優惠券漏洞盜取數千萬元平臺優惠券,進行不正當牟利。針對此行為,拼多多已第一時間修復漏洞,並對涉事訂單進行溯源追蹤。同時拼多多已向公安機關報案,並將積極配合相關部門對涉事黑灰產團伙予以打擊。
隨後,拼多多又針對資損200億一事發表聲明,稱實際最終資損或低於千萬元人民幣,沒想到在系統沒有任何數據安全漏洞的情況下,灰黑產還能利用規則漏洞薅走總價值數千萬的優惠券。羊毛黨剛散,亡羊補牢中,已向警方報案,最終還能追回不少,實際資損大概率低於千萬元。
拼多多相關發言人還在朋友圈表示:“真的沒有200億,深更半夜的……全國人民全部起來每人薅十塊錢,大家覺得可能麼……就看週一三大運營商會不會漲停了”。
在這則闢謠聲明過後,#拼多多實際損失或低於千萬#的話題也登上了新浪微博熱搜榜的前五位。但瘋狂的羊毛黨喧囂過後,拼多多又該如何快速止損和解決此事?羊毛黨在互聯網環境下存在已久,平臺的預警機制和風控系統該如何升級防範?為何黑產能利用規則漏洞薅走價值數千萬的優惠券,主打算法驅動的拼多多還有哪些必須的功課要做?
針對拼多多被“薅羊毛”一事,億邦動力與行業內多位CTO和技術人士進行了討論,希望從不同角度看待這一事件。(注:本篇文章的受訪者從事行業涵蓋了傳統電商平臺、社交電商平臺、零售品牌、傳統連鎖零售品牌以及零售行業技術服務商等,應受訪者要求,均採用匿名形式進行表現。)
修復 砍單 止損
毫無疑問,快速修復漏洞是所有人的第一選擇。在這次調查中,幾乎所有的CTO和技術人士都回答首先要止損,下架相關優惠券減少影響,進行緊急補救。
有超過5位的受訪CTO表示,大的電商平臺都難免要遭受黑產的攻擊。對於這種情況,平臺需要首先安撫用戶和商家,針對實體商品直接進行砍單止損,通過技術在後臺取消訂單,儘可能的減少損失是頭等大事。但是黑產“羊毛黨”肯定不會買實物商品,類似於話費、Q幣類訂單很難追回。
有多位受訪者表示,在法律允許內的範圍內,惡意被人利用漏洞的話是可以直接砍單,已經付出的成本可以要求用戶退還。當然這個成本很高,已經超出了一個CTO的負責範圍,這個時候技術團隊要和運營團隊、法務團隊、客服團隊、商家服務團隊和公關團隊都聯動起來,想辦法止損。
“如果是我負責的話,我應該還會清理數據,看看利用優惠券下單的用戶哪些是自然人,哪些是黃牛。”一位連鎖零售品牌的技術負責人向億邦動力表示,雖然表面上看起來都是手動“薅羊毛”,但背後肯定是程序操作佔絕大多數。
系統bug?操作失誤?
根據拼多多的官方回覆,此次事件是因為黑產利用了規則漏洞盜取了優惠券,而具體原因尚未得知。關於背後原因的傳言也眾說紛紜,這一損失究竟是人為操作失誤造成還是技術漏洞的影響呢?
超過3位有電商平臺工作經驗的技術人士表示,這種漏洞其實是屬於常規的Bug,並沒有很特殊,很多電商平臺都會有類似的漏洞,刷優惠券刷積分的羊毛黨到處都是。但是拼多多流量大,受關注度較高,加上100元優惠券的額度比較大,導致了這次事件的影響較大。
不過,也有4位受訪者認為,從目前公佈的信息來看,更像是人為的操作問題。
有一位零售業技術提供商認為,這次事件的原因可能是程序開發問題,在開發時限制條件寫錯了,或者這個優惠券是測試數據,沒有及時刪除。“系統應該會對無門檻券進行設置,領券的對象會有針對性的限制條件,而不是平臺每個賬號都能領,這個限制條件應該是存在漏洞。”
另一位電商平臺的技術負責人判斷,現在黑產都是用程序自動監控各網站的優惠券,所以優惠券放出來後立刻就被發現了。“我覺得不能算程序bug,應該是人為操作失誤,同時也暴露了拼多多內部的流程不完善,審核有問題,無門檻券風險極大,很多平臺都需要多級審批。一旦觸發相關預警機制,系統會自動給幾十個相關負責人發短信通知。”
拼多多的“學費”
正如上述人士所言,拼多多除了止損和修復,也要藉此事重新建設預警機制和風控系統,以及內部的相關工作流程。有信息顯示,直到今天早上10點左右,拼多多這一BUG才被修復。
幾乎所有的受訪者都判斷拼多多在預警和風控上沒有做到位。“營銷系統是電商核心系統之一,各種條件的設置非常複雜,有互斥的、並列的等等。從管理上來講,技術肯定要揹負一定責任。拼多多在補上漏洞後,應該注意後續的防範措施,這個事件說明它缺少基本的熔斷機制,沒有預警。如果防範意識足夠高,風控團隊和系統是可以幫助攔截的。”一位SaaS平臺的技術負責人表示。
“這種bug是低級類錯誤,本身是容易發現的,在業內比較常見。如果是實物產品設置錯價格,這種責任人的責任就較大;如果是技術漏洞,那就立即暫停業務,技術補救,一般不會有人追責。”一位電商平臺的CTO表示。
在和多位受訪者溝通中,億邦動力發現,實際上這種案例時常發生,只不過多數公司沒有報道出來。據一位受訪者透露,曾有互聯網金融公司遭遇過類似事件,損失超過一個億,通過及時補救和追回,實際損失也只有一千萬。
不可置否,在互聯網的生存環境下,規模越大,風險就越大。“越不起眼的地方,越可能出個大炸彈,要敬畏每一個細節。年底逼近,你放鬆了,羊毛黨並沒有放鬆。所有CTO、COO,或許都要做個自我檢視,要重視信息安全和風險管理。”一位零售品牌的CTO感嘆道。
“這種事情就像交學費,沒發生時,沒有人會覺得有問題。對於發展中的公司來說,損失大過成本了,公司才會有投入的,由技術提出加大這方面預算是很難的,老闆不信,投資人不信。這都是發展的必經階段,沒有一家公司一開始就是完善的。”一位傳統電商平臺的相關技術負責人在最後評價道。
閱讀更多 每日熱點w追蹤 的文章
