“漏洞”8小時 被薅“羊毛”千萬元
拒絕為“”買單 風控四大問題亟待解決
最近將目光轉向了拼多多。
1月20日凌晨到上午9點,拼多多上演了一場“薅羊毛”的狂歡:一張百元無門檻的消費券隨便領,隨便使用,直至官方將此券緊急下架,但預計損失已達千萬元。
8小時損失千萬
據瞭解,這次被公然竊取的拼多多無門檻百元優惠券屬特製優惠券,根據拼多多官方說明,是此前與《》合作時,為現場嘉賓生成的優惠券,僅供現場嘉賓使用,“這個活動在去年就結束了。” 拼多多方面人士透露,這張優惠券從未在任何時候、以任何方式出現在平臺正常的線上促銷活動當中,甚至從未有任何線上入口。
然而,1月20日凌晨1點,這張百元無門檻優惠券悄然上線,很快和Q幣成了兌換的熱門產品。據拼多多公開說明,原本每個認證信息用戶只可領取一張無門檻100元優惠券,但黑灰產團伙利用自己“養貓池”(用手機卡蓄養大量虛擬賬號),控制N張手機黑卡同時作業,批量盜取該種優惠券,並通過手機話費、Q幣等虛擬充值的方式,試圖在短時間內迅速轉移所得。
上午9點,當遭盜取優惠券和正常優惠券的總和突破平臺預設閾值,異常情況被系統監控到並自動報警後,拼多多官方才發現漏洞,緊急修復,而此時,距離優惠券上線已經過去9個小時,拼多多預計涉案優惠券總金額達數千萬元。
Q幣充值被凍結 手機充值尚待解決
有消息稱,一名的用戶用拼多多優惠券充值的200元話費在第二天就收到提示,成功取消充值。但這則消息尚未得到證實。
拼多多表示,黑灰產業鏈條是利用“養貓池”批量盜取優惠券。所謂養貓池,是指在同一臺機器上插入N張手機卡後統一刷取,一般都會使用卡,以此逃脫實名制追查。但在上述電信運營商人士看來,“實名制”並不是關鍵,目前運營商也在對卡加大推行實名制,一旦拼多多通過監控優惠券流向鎖定號碼,運營商有能力追溯到具體號碼以及登記用戶,“關鍵要看拼多多是否能鎖定具體號碼以及實名制登記人與實際使用人是否為同一人。”
不過,大量使用了優惠券的真實消費用戶充值如何解決,目前,其所在尚未給出明確方案。
此前,東航訂票系統、充值系統等不少都因系統差錯導致低價商品上線,並因此“砍單”,對此新出臺的《電商法》也進行了規定,其中四十九條規定,經營者發佈的商品或服務信息符合要約條件的,用戶選擇該商品或者服務並提交訂單成功,合同成立。要求經營者不得以格式條款等方式,為自己的毀約行為製造藉口,隨意“砍單”。拼多多此次對大規模使用優惠券交易訂單強制取消和撤回是否屬於這一規定範疇?
在上海大邦事務所高級合夥人遊雲庭看來,拼多多此次發生的優惠券遭竊後、強制凍結或取消購物訂單的行為 ,符合《合同法》中五十四條規定:因重大誤解訂立的合同,當事人一方有權請求人民法院變更或者撤銷;在訂立合同時顯失公平的,一方以欺詐、脅迫的手段或者乘人之危,使對方在違背真實意思的情況下訂立的合同,受損害方有權請求人民法院或者仲裁機構變更或者撤銷。“《合同法》與《電商法》並不矛盾,起到一種補充的作用。但所有的凍結和撤銷,應當由法院來進行更合適。”遊雲庭表示。
四問拼多多風控
儘管事件起因是黑灰產利用拼多多平臺漏洞竊取價值等同現金的優惠券,但作為平臺方,在漏洞被利用一直到修補漏洞,乃至產生重大損失,中間用了9個小時,由此折射出平臺在風控上存在的不足。
此外,優惠券上線後,平臺風控體系也應當及時採取監控措施,包括對發放優惠券的流向以及流量進行監控,設置完善的報警閾值、失效機制、熔斷機制,“當大量優惠券流向Q幣充值以及通信充值時,這些商品的GMV一定會出現環比異常, 如果立即制止,或許就不會出現凌晨5點的那波搶券潮了。”
在這位人士看來,拼多多事件折射出其風控體系至少存在四大問題:一、拼多多後臺有沒有對黑客的刷單進行基礎設置?為什麼大量的黑客只要通過“貓池+腳本API”, 就能批量自動操作,以至於出現鉅額損失?二、拼多多的風控體系中,有沒有對單人領取金額上限、券額上限以及消費領域(比如虛擬物品消費)等進行限制?為什麼會出現大量黑客通過手機充值和購買Q幣,就能完成套現?三、拼多多的風控體系中究竟有沒有對平臺發放的優惠券的流向以及流量進行監控?為什麼在事件發生後的幾個小時平臺系統才會有所反應?四、為什麼整個平臺都沒能及時做出反應?當大量優惠券流向Q幣充值以及通信充值時,這些商品的GMV一定會出現環比異常, 為什麼拼多多會一再錯過掌控局面的最佳時機,以至於事件發展到難以收場的地步?
相關鏈接 電商平臺漏洞頻出
2018年元旦假日期間,騰訊視頻推出“9折開通騰訊視頻VIP”活動。活動當天,騰訊視頻服務器出現故障,9折充值活動變成0.1折,18元的騰訊視頻會員費直接變成了0.2元即可,且充值時長可累計疊加,據稱有人已經將騰訊視頻會員“充值”到2055年。據統計,在服務器異常期間,因0.2元漏洞所產生的訂單數量達到了287萬筆,共有超過39萬名用戶利用漏洞成功付費,平均每人成功充值了7.3個月。2018年1月2日,緊急決定,將本次活動中扣費異常的訂單所涉資金全額退回。
2018年8月,由於特朗普加增關稅,匯率大跌,乘客在買機票時,利用攜程匯率結算系統沒實時更新,紛紛在攜程上使用里拉購買南航機票,再從南航微信渠道進行退票,從中賺取差價,100萬人民幣約有17萬收益。隨後,攜程緊急關閉里拉支付通道,並向上海市長寧區警察局報案。
2018年11月,網站凌晨出現BUG,國內多條航線機票折扣幅度降低至0.4折,經濟艙只需幾十元至幾百元即可乘坐,在完成漏洞修補的同時,表示售出機票全部有效。
閱讀更多 IT互聯網內參 的文章
