除了损失数千万,拼多多漏洞还有诸多谜团

2019-01-21 10:57:00 作者:中国企业家 出处 : 论坛

  作为体量仅次于阿里及京东的国内第三大电商巨头,美股上市公司拼多多理应具备相应成熟的安全预案,而本次优惠券BUG事件则至少反映出该平台仍存在风控短板。眼下系统虽已修复,但与之相关的多个问题仍悬而未解。

  文丨《中国企业家》记者 崔鹏

  编辑 | 齐介仑

  头图来源 | 视觉中国

  疑似黑产军团已杀向拼多多。

  1月20日上午,大量网友在社交平台发布消息称,从当日凌晨开始,拼多多平台上出现重大BUG,用户可以直接领取100元无门槛优惠券。这一BUG被“羊毛党”发现后迅速在网络传播,直至当日上午10点左右,系统才被官方修复,相关优惠券被全部下架。

  一时间,各种传言开始在网络上散布,比如拼多多一夜损失200亿元,用户“薅羊毛”充话费或Q币被拼多多客服威胁起诉等,后来都被证实为谣言。

  拼多多官方表示,有黑灰产团伙通过一个过期的优惠券漏洞,盗取数千万元平台优惠券,进行不正当牟利,平台已第一时间修复漏洞,并对涉事订单进行溯源追踪,同时已向公安机关报案。

  官方声明无法阻挡网友议论的热情,当日拼多多相关话题多次登上新浪微博百度的热搜榜。不断有网友在社交平台上晒出成千上万元的话费和Q币充值记录,部分用户为应对潜在的拼多多追责风险,声称已将Q币消费,转换为游道具交易出手。

  在这场“羊毛党”和疑似黑产势力的狂欢中,有很多令人好奇的地方。包括漏洞到底何时被发现,中间漫长的业务链条中哪个环节出了问题,拼多多又做了怎样的处理,受影响的商户有多少等等。

  对于上述问题,截至本文发稿,仍无明确说法。拼多多在回复《中国企业家》记者问询时回应称,警方调查期间,暂时不方便披露案件相关细节,后续有最新进展会第一时间跟大家同步。

  有别于以往的三大特点

  从目前公开信息看,本次拼多多优惠券有几个问题较为特殊。

  首先,卡券的领取数量没有上限。

  无门槛优惠券,与常见的“满减”优惠券不同。后者能借助少量补贴拉动大量用户消费,有助于电商平台完成GMV等主要经营数据;而前者不需要用户进行任何额外消费,几乎等同于给用户“送钱”。

  所以通常全场通用的无门槛优惠券都会进行领取限制,比如针对同一账号、手机号和设备ID等进行购买数量限制。在现有的拼多多其他优惠券中,也标注着“如有发现恶意刷券等违规行为,平台有权在法律范围内进行相应处理”等字样。

  但拼多多似乎并未设置本次优惠券的领取上限,加上该优惠券不是传统的“抢购”设置,而是随意领取,这也直接导致拼多多官方口径中的“数千万元”资损产生。

  其次,无门槛优惠券能兑换虚拟商品。

  电商平台从业者刘昕(化名)告诉《中国企业家》,一般来说,无门槛优惠券不能兑换虚拟产品(包括话费、Q币、游戏点卡等)以及金银等贵金属投资品。从各大平台实际情况看,全场通用的优惠券通常会标注“虚拟商品除外”字样。

  虚拟商品交易是网络黑产的惯用洗钱手法,所以被各大电商平台所重视,在优惠券使用范围上进行严格限制。同时,禁止兑换虚拟商品,也便于追踪黑产身份,毕竟实物商品需要邮寄地址。

  本次事件里,拼多多优惠券却可以无障碍兑换前述虚拟商品。在采访过程中,诸多从业者对此表示惊讶。

  最后,无门槛优惠券金额为何如此大。

  与普通满减优惠券不同,无门槛优惠券的金额通常都不大,尤其是能兑换虚拟商品的优惠券,额度在个位数的较多。在京东和淘宝等平台,话费优惠券一般不超过5元。

  而本次拼多多的优惠券面额为100元,这类大额无门槛优惠券并不属于常见类型。尤其是考虑到其不设上限的领取数量,它在设计、测试、上线、风控等多个流程中,应该都有严格的安全保护措施,以及错误预警和处理方案

  对于拼多多这样一家体量仅次于阿里和京东的电商巨头来说,这次优惠券事件对它的技术和安全口碑无疑会产生影响。

  “薅了羊毛”的用户怎么办

  另外一个被广泛关心的问题是,那些“薅羊毛”的普通用户,拼多多该如何处理。目前平台方未就此作进一步说明。

  与涉嫌违法犯罪的网络黑产不同,“薅羊毛”行为在互联网用户间较为常见。此前其他公司也遇到过类似漏洞,一般在确认系平台工作失误并且损失不大的情况下,会选择自我承担损失。

  2017年12月31日,腾讯视频曾被曝出系统BUG,用户仅需支付0.2元就能获得价值20元的视频会员,并且同一账户可以多次购买。该漏洞出现后半小时,腾讯便发现并将其关闭,但即便如此,仍有39万名用户参与,生成订单287万笔,简单计算可知腾讯视频因此损失超过5600万元会员费。

  2018年1月5日,在最终调查结束后,腾讯视频宣布该问题由其工作失误所致,用户购买的异常订单,腾讯将全部兑现,并不再扣费。

  不过,自2019年1月1日起正式施行的《电子商务法》第四十九条有如下规定:

  电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择该商品或者服务并提交订单成功,合同成立。当事人另有约定的,从其约定。

  电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立;格式条款等含有该内容的,其内容无效。

  查阅拼多多《拼多多服务协议》可知,在“用户守则”之下,包含有“禁止使用拼多多平台外挂和/或利用拼多多平台当中的BUG来获得不正当的利益”的约定内容。

  上海大邦律师事务所高级合伙人游庭告诉《中国企业家》,从目前披露的信息来看,这是一起民事案件,而不是刑事案件,它属于平台自己产品设计的问题,而不是黑客攻击导致,如果拼多多需要维权,这次事件法律上可能构成“重大误解”。

  根据《民法通则》,重大误解,指的是一方当事人因自己的过错导致对合同的内容等发生误解而订立了合同。重大误解行为,在法律上属于可撤销行为,但一般行使撤销权需要通过法院进行。

  实际上,法院为了保护交易安全,在“重大误解”的案件判决上非常谨慎,如果只是一两百元的小额事件不会轻易判决。

  游云庭认为,如果用户没有使用优惠券,拼多多禁止其使用并无问题,但如果用户已经将优惠券消费掉,拼多多、中国移动、腾讯等公司不应该在法院没有判决前直接冻结相关交易。

  网络黑产阴魂不散?

  事件远未终结。

  作为一家美股上市公司,拼多多需要在本季度财报中披露这次漏洞事件所带来的实际损失数据。优惠券如果用于平台自营商品,需要在财报中计算为销售成本,优惠券用户第三方商户,则计算为营销成本。

  财报显示,2018年第三季度,拼多多营收为33.72亿元,归属于普通股股东的净亏损为10.98亿元。从这个数据来看,若本次事件中最终损失数千万元,对拼多多来说影响不小。

  与此前腾讯视频和东航等公司的BUG事件不同,本次拼多多对外表示有网络黑产势力牵扯进入。

  利用公司业务漏洞而进行违规操作,在网络黑产行为中所占的比例并不小。

  腾讯安全向《中国企业家》出示的数据显示,截至2018年年底,腾讯综合安全服务平台受理的用户有效举报超过1247万次,受理举报打击最多的类型为诈骗,其次是黄赌毒,第三就是违规使用腾讯业务,占比为8%,按数字计算接近百万级。

  对于P2P和电商等行业而言,与网络黑产的斗争是一项长期而复杂的工程,各家公司尤其是巨头都非常重视,有一套相对完整的应对流程,拼多多也理应有充足准备。

  本次事件中暴露出的诸多谜团,有待拼多多披露更多新消息来揭开。

最近更新
科普

科普图集
从《中国互联网+指数报告(2018)》看数字经济

从《中国互联网+指数报告(2018)》看数字经济>>详情

“互联网+”的这些新变化,你知道吗?

“互联网+”的这些新变化,你知道吗?>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。