“一夜蒸发200亿”谣言疯传:还原拼多多系统BUG被攻破始末

2019-01-22 01:10发布

深响作者 | 甘洛奇

“在吗在吗,起床撸话费了!拼多多四毛充100,赶紧赶紧!”

昨日凌晨0点到上午9:40,拼多多系统出现重大BUG, 100元无门槛优惠券用户随意领取,该优惠券除特殊商品外全场通用,有效期为一年,使用次数不限。

一时间,该消息迅速发酵,不少用户连夜接获“情报”起床登录拼多多充话费,据说一晚上交易额达到200多亿元。直到九个小时后,该BUG才终于被拼多多系统修复。早上才听闻消息的一些网友无奈表示,“一觉醒来错过了几个亿”“早睡早起虽然身体好,但晚睡晚起才能暴富呀”“这么嗨的事情我总是最后一个才知道”。

虽然已经亡羊补牢,但拼多多的损失已成事实。“一夜蒸发200亿”的谣言开始在网络疯传。根据去年发布的Q3财报,拼多多实现营收33.72亿元,现金及现金等价物149.6亿元(截止2018.9.30)。假如传言为真,这个三亿人都在使用的购物APP拼多多等同于将一夜破产。

对此,拼多多官方回应称,“已报警,正在追回不当牟利,最终资损或低于千万元人民币” “200亿不属实,全国人民半夜都起床褥羊毛是不太可能的事”。并将此次平台大型翻车的原因归咎于黑灰产团伙的盗取行径。那么问题来了,什么是褥羊毛和灰黑产?

褥羊毛:低成本赚差价

褥羊毛指的是通过搜集各大电商网络平台、银行、实体店等各渠道的打折促销活动,大批量抢购并卖出赚取商家和平台补贴差价的行为。

从事这一行为的群体称为羊毛党,分为个人羊毛党和职业化羊毛党。

个人羊毛党指的是那些专门选择互联网公司的营销活动,以低成本甚至零成本换取高额奖励的人。此类人群一般多为爱占小便宜、喜欢在平台活动期间购物的白领。这种规模比较小,对平台的损失构不成影响。但职业化羊毛党则不同,他们有组织有规模有分工,已形成完整的产业链,并且实现专业化、团队化、地域化。比如集中注册手机账号接收短信验证码,套取大量优惠券;比如组织黑客技术专攻编程漏洞,窃取海量数据进行牟利…

电商平台对于羊毛党可谓是又爱又恨。首先,商家和平台给予消费者的优惠让利被羊毛党褥走,这对用户不公平;但另一方面来说,羊毛党的涌入带来了网络流量,短时间内聚集了大量人气。因此这让电商平台常常感到为难。

网络黑灰产:放任不管会造成严重危害

职业化羊毛党就是电商平台口中所讲的“黑灰产”。不管怎么说,放任网络黑灰产不管的话会造成严重危害。黑产指的是直接触犯国家法律的网络犯罪,灰产则是游走在法律边缘为“黑产”提供辅助的争议行为。

根据南都大数据研究院联合阿里发布的《2018网络黑灰产治理研究报告》,黑灰产共有四种类型:虚假账号注册等源头性黑灰产;用于进行非法交易、交流的平台;木马植入、钓鱼网站、各类恶意软件等;大多以恶意注册、虚假认证、盗号等形式实现的网络黑账号。

这些黑灰产不仅会造成经济财产损失,还会影响平台声誉,侵害用户个人信息。2017年黑灰产业已达千亿元规模,而我国网络安全产业规模才450多亿元,不铲除黑灰产团伙则遗患无穷。

影响已经造成:拼多多该怎么办

尽管该系统BUG是由于黑灰产团伙攻破漏洞并恶意传播造成,但广大用户并不知情,对于已经领取了优惠券或是已经利用券下单了的用户,拼多多该怎么办呢?

对于领取了但未使用的用户优惠券,平台已经下架并回收(原本正常领取非BUG原因的优惠券不受影响);对于领取并使用了的优惠券,拼多多通过入驻商家发布通知,该百元券不能用来抵扣商品,含有该券的订单必须取消不能发货,已经发了的必须追回包裹。平台将另补用户5元优惠券,有效期50年。但对于实物类商品来说能够及时止损,类似于充值话费、Q币的订单则很难追回。

虽然表面上看起来都是手动“薅羊毛”,但背后肯定是程序操作占绝大多数。

某连锁零售品牌的技术负责人表示, “如果是我负责的话,我应该还会清理数据,看看利用优惠券下单的用户哪些是自然人,哪些是黄牛。”。

另一位零售业技术提供商则认为,“此次事件的原因应该是程序出了问题,或者是测试数据没及时删除,限制条件存在漏洞。”

但某电商平台的技术负责人不这么认为,他觉得不能算程序BUG,应该是人为操作失误,同时也暴露了拼多多内部的流程不完善,审核有问题,无门槛券风险极大,很多平台都需要多级审批。一旦触发相关预警机制,系统会自动给几十个相关负责人发短信通知。”

而某互联网IT从业者则说,在各平台上8块、10块的无门槛券都很谨慎,手机话费券都是1块、2块,这个100块无门槛券真是超出认知。这个锅、产品、运营、测试、风控,一个都跑不了。

拼多多官方公告透露,此事件源于一个“已过期的优惠券漏洞”,而根据此漏洞,黑灰产团伙将拼多多优惠券用于话费充值、Q币充值、黄金购买等渠道,这违反了电商业内“虚拟商品和投资品不适用优惠券”的常识。

因此,虽然外部黑灰产的不法分子在幕后操纵此次事件,但苍蝇不叮无缝的蛋,这个锅拼多多还是难辞其咎。

不过,平台的处理方式并不能服众。消费者称自己合法领到的券被收回了,是商家欺骗;既然领取了就应该能够正常买啊,强制退款,呵呵,真“不错”;按规则领取的券不偷也不抢,怎么能说漏洞就不给用呢…

法律界人士:撤销优惠券合法

《合同法》第186条规定,赠与人享有任意撤销权,即赠与人在赠与财产的权利转移之前可以撤销赠与。“总体来说,优惠券是属于赠与行为,我认为可以合理撤销。”英冠律师事务所的律师钟振宇表示。

《合同法》第54条也规定,因重大误解订立的合同,一方可以请求法院和仲裁机构变更或撤销。北京大学法学院副院长、博士生导师薛军教授表示,“如果商户本来没有发放优惠券的意思,但因为业务策略漏洞,被用户领取,那么性质上构成因为意思表示错误而成立的赠与合同,商户可以主张撤销相关的赠与合同,用户所获得的优惠券构成不当得利,应该返还。”

目前,根据拼多多发布的最新情况说明,上海警方已依据“财产保全”相关规定,对涉事订单进行批量冻结,并以“网络诈骗”的罪名成立专案组立案调查,涉案优惠券总金额达数千万元。

善后困难:高昂学费带来的教训

不少平台也曾遇到了这样的类似漏洞,但这些企业大多都选择自己为错误买单。

例如,东方航空App 曾在国内不少航线的头等、商务舱价格上出现漏洞。广州到上海头等舱120元,经济舱50元,北京广州经济舱60元,广州北京公务舱200元…对此,东方航空公告称凡是在当日凌晨系统维护时成功购票并出票的旅客可正常使用;腾讯视频曾出现“0.2元开通VIP”的漏洞,类似事件在京东、苏宁等电商平台也有出现,他们最终都没有选择向用户追讨。

在消费者眼里,自己使用平台发放的优惠券合情合理,拼多多因为自己的错误选择追讨, 是对用户的失信和愚弄。拼多多以0元购等超低价病毒式营销起家成为国内第二大电商,现在却被不法分子用同样的低价营销手段算计,颇有种聪明反被聪明误的滋味。

“这种事情就像交学费,没发生时,没有人会觉得有问题。对于发展中的公司来说,损失大过成本了,公司才会有投入的,由技术提出加大这方面预算是很难的,老板不信,投资人不信。这都是发展的必经阶段,没有一家公司一开始就是完善的。”一位传统电商平台的相关技术负责人评价道。

此前拼多多也曾卷入过不少优惠券纠纷。根据其最新官方声明称,此次案件涉及“套券诈骗”,与此前的其他平台失误事件存在本质差别。 但这起高昂学费的背后,是时候让拼多多思考一下自己的问题了,也许,加强内部控制、完善流程管理,才是这次教训的关键所在吧。

文章来源: https://www.toutiao.com/group/6648886842466763272/