1月20日凌晨,有网友表示,拼多多出现了一个大bug,“充100元话费只需要4毛钱”。 ”。根据网友晒出的截图,拼多多的100元无门槛优惠券是通用的(特价商品除外),有效期为一年。
拼多多表示,当日凌晨,一黑灰团伙通过过期优惠券漏洞盗取数千万平台优惠券牟取非法利润。
针对这起事件,拼多多表示,上海警方现已以“网络诈骗”罪立案,并成立专案组,并按照“财产保全”的相关规定,令涉案已分批冻结。拼多多平台正在配合警方追查涉案订单的来源,最终根据警方的调查结果,依法依规处理相关订单。
拼多多回应称损失高达200亿,称该数字不真实。拼多多称,黑灰团伙盗取大量优惠券,涉案金额达数千万元。
由错误引起的祸害?
黑灰生产团伙利用漏洞盗取千万级优惠券
1月20日上午9点5分,小楠在她的“女朋友群”里收到了一个链接。女朋友告诉她,只要点开链接,就可以获得100元拼多多优惠券。
“我还以为是大促还是新品大促,就下载了拼多多app,选了,订了一直想买的智能音箱。”肖楠告诉新京报记者,她收到的这张优惠券是“无门槛,有效期一年”。
“我的室友在她的朋友群里看到了这个链接,然后转发到我们的女朋友群。后来在网上看到热搜后,我才意识到我的行为可能涉及砸羊毛。”肖楠说:“1月20日上午10点20分,我用优惠券购买的产品已经联系了顺丰,连快递单号都告诉了我,但目前该产品还在‘商户’中正在通知快递公司。取件状态。”
在最新的情况说明中,拼多多表示,黑灰制作团伙利用“优惠券漏洞”盗取的相关优惠券,是拼多多此前与江苏卫视《如果你是》合作时,因节目录制需要唯一的那个”。一种特殊生成的优惠券类型,仅供现场客人使用。
然而,黑灰生产团伙通过扫描异常手段生成的二维码,获取相关优惠券。二维码多在社交平台上相关的黑灰制作群中流传。通过这个二维码,每个认证信息的原始用户只能领取100元的无门槛优惠券,而不是网上流传的可以“无限”的单一ID。
因此,黑灰团伙利用“猫池”(用手机卡保有大量虚拟账户)等非法手段,实现N张手机黑卡同时经营,批量盗取此类优惠券,并利用手机话费、Q币等虚拟充值方式企图在短时间内快速转移此类不当收入,涉案优惠券总额达数千万元。
拼多多风控团队负责人表示,黑灰团伙在盗取巨额优惠券并转移不当收入后,希望达到“法不怪众”的效果,并迅速通过互联网和社交群两个分享二维码,诱导部分普通消费者跟风扫码。
拼多多强调,此类优惠券从未在任何时候以任何方式出现在平台正常的线上推广活动中,甚至从未出现过任何线上入口拼多多免费自动刷刀软件,拼多多也从未针对此类优惠活动。优惠券生成任何二维码。不过,二维码的具体生成和传播过程还有待警方调查的最终结论。
值得注意的是,专业的毛线党看中了话费,Q币自动发货,所以兑换券很快。对于拼多多来说,能否从三大运营商和腾讯手中挽回这一损失值得怀疑。目前,拼多多尚未透露是否有追回资金损失的具体方案。
退票合理吗?
拼多多称其为“优惠券欺诈”专家:撤回优惠券是合理的补救措施
Bug被用户“挖”的现象在国内互联网行业时有发生。
2018年元旦期间,腾讯视频推出优惠充值活动,但由于活动服务器后台数据异常,部分用户充值一个月本应支付18元优惠价,但他们实际上只被扣除了0.2元的身份。当时,该漏洞共吸引了 39 万用户。
随后,腾讯宣布这是公司的工作失误,公司兑现了所有这些异常订单,不再扣费。最终腾讯为这个bug付出了5000多万元,同时也获得了网友的好评。
但拼多多并没有自掏腰包“跟随舆论”。发现漏洞后,拼多多于当日9:00左右紧急下架所有优惠券领取方式,取消用户已领取但未使用的优惠券。记者注意到,当时拼多多也对App进行了优化更新。 为了补偿用户,拼多多向受影响用户发放了5元无门槛优惠券,有效期50年。
拼多多表示,这起事件与其他公司因bug导致的一系列资产损失事件有着本质的不同。这次是一起“债券诈骗”的网络诈骗案。 “比如,前者比作网络中‘ATM机误吐钱’的现象,而后者相当于非法团伙打开ATM机盗窃。”
电子商务研究中心主任曹磊认为,从法律责任认定和用户权益保护的角度来看拼多多免费自动刷刀软件,如果是平台发起的活动,应该按照官方的指示来兑现承诺,相当于在线与用户签订协议。当然要执行。 “但拼多多相关声明显示,优惠券是通过优惠券过期漏洞盗取的。根据《合同法》的相关规定,拼多多不需要为取消或撤回优惠券承担法律责任。”
他表示,如果拼多多的优惠券漏洞是黑毛生产者的恶意行为,此类交易属于“重大误解”订立的合同,“(拼多多)可以要求撤销。”
p>
北京康达律师事务所律师韩晓也认为,拼多多撤回已收到但未使用的优惠券,不会与新出台的《电子商务法》相冲突。在这起事件中,拼多多的回应是收回已收到但未使用的优惠券,这是一种合理的补救措施。
据记者了解,当日11:00左右,拼多多工作人员已向部分商家发出通知,已使用100元无门槛优惠券的订单不得发货。
根据《电子商务法》第四十九条的规定,电子商务经营者发布的商品或服务信息符合报价条件的,用户选择商品或服务并成功提交订单,且合同成立。当事人另有约定的,以约定为准。电子商务经营者不得以格式条款约定消费者支付货款后合同不成立的;格式条款包含此类内容的,该内容无效。
曹磊表示,拼多多的做法不违反电子商务法。 “恶意利用系统漏洞获取的优惠券,在支付中无法有效抵扣相应的支付义务,应视为未履行支付义务,不受电子商务法第四十九条第二款的限制。商家可以不发优惠券。货。”
中国政法大学知识产权中心特约研究员赵战告诉记者,如果用户在拼多多上使用优惠券购买第三方商家的商品,用户与商家已经成立,拼多多可以追究用户的行为。责任,但不能阻止商家发货。
为什么会发生“羊毛”事件?
拼多多称事件发生在平台大促销期间,不涉及数据安全问题
关于风控问题,拼多多表示,公司一直在搭建风控体系,本次事件不涉及任何数据安全问题,平台消费者原本领取的优惠券使用不受影响。为进一步加强“特价券”相关风控体系,拼多多透露,公司已成立技术团队。
对于拼多多的“抢羊毛”,反欺诈安全团队专家陈峰(化名)表示,防止平台被恶意“砸羊毛”的手段有很多,包括限制总数优惠券及优惠券的应用场景,“比如设置最多10万张优惠券,只能用于200元以上的实物订单,再加上最基本的反毛策略,可以保证不会出现大问题。”
对于风控系统为何未检测到异常情况,拼多多回应称,该事件发生在平台大促期间,消耗了大量平台正常发放的优惠券。直到上午9:00,被盗优惠券和普通优惠券的总和才超过平台预设的阈值。系统监测到异常并自动报警后,拼多多第一时间修复了相关漏洞。
根据网友的截图,此次事件中拼多多的优惠券是“万能无门槛”,有网友晒出充值电话、购买Q币的截图,有的充值金额甚至高达5万元。 “这次事件中,拼多多的业务规则出现了问题,没有设置最基础的防刺羊毛措施。”陈锋说。
在陈峰看来,有专业的“羊毛党”。针对不同的平台,这些羊毛方有注册账号(涉及手机号、收码平台等)、下游支付渠道、清扫和转账渠道等。知情与否以及设备的专业水平决定了这些人的收入。羊毛派对。
羊毛党的行为是否涉嫌犯罪?
律师:可能涉嫌盗窃,看司法部门的认定
实际上,《拼多多服务协议》7.1 禁止行为中明确规定用户使用拼多多平台插件和/或利用拼多多平台漏洞获取不正当利益的行为。 .
韩萧表示,用户利用系统漏洞从平台领取大量优惠券并从中获利,可能涉嫌盗窃。如果利润金额达到相关标准,可能需要承担刑事责任。不过他强调,如果是平台的普通客户,他并没有自觉地通过这个安全漏洞获取大量优惠券牟利,而只是收到了少量优惠券。没有主观盗窃意图,客观利益未达量刑。标准,不构成盗窃。
陈峰表示,黑毛生产是否涉嫌犯罪,很难判断。 “一般来说,企业要先报案,在之前的实际案例中,大部分情况可能是协商的,协商不成的,就按欺诈处理。但到底是违法还是犯罪,就看情况了。”公诉人办公室的特征。”
拼多多在最新公告中表示,平台不会对被胁迫的普通消费者追究进一步责任,但不支持此类异常行为。
电子商务研究中心特约研究员、北京盈科(杭州)律师事务所律师方超强认为,黑产灰其实是一个互联网名词,没有明确的概念和外延; “灰烬制作团队”,几个事实应该清楚:1.应该是主动寻找系统漏洞,而不是系统损坏和篡改;2.主观上知道是漏洞;3.客观上钻空子谋利; 4.优惠券应该是有价值的财产。从犯罪要件来看,我个人认为涉嫌盗窃罪。
中国政法大学传播法研究中心副主任朱伟表示,当平台出现优惠券bug,原因不明时,有两种情况:一是,该漏洞涉及计算机系统破坏的,属于《刑法》规定的破坏计算机信息系统罪,情节特别严重的,处五年以上有期徒刑。第二,如果不涉及系统损坏,而只是利用漏洞。情节严重的,在实践中就涉及盗窃或者侵犯知识产权罪。如不严重,所得券属于不当得利,应退还。
在这次拼多多事件中,黑灰制作团队在刷了足够多的优惠券获利后,出于“不怪大众”的心态,向公众发布了优惠券链接。朱伟认为,对于发布相关信息的人,除自己刷单外,传播此类信息可能涉及前罪从犯,也可单独构成传授犯罪方法罪,或构成扰乱行政处罚。市价单。
在朱伟看来,刷量少的人一般不构成犯罪,但其“所得为不当得利,应及时返还”。公布事实后盗刷的,构成盗窃罪。
曹磊表示,严格意义上,黑灰生产的认定应当由相应的监管部门或公安网管主管部门认定。当然,如果平台方能够提供充分有效的证据材料,也将有助于监管、司法、公安等部门的认定。
对拼多多的影响有多大?
目前营销费用惊人,正在招聘大量风控专家
凭借全新的社交电子商务方式,成立仅三年的拼多多已成为中国最成功的独角兽公司之一。摩根士丹利近日发布研究报告,首次将拼多多纳入研究范围,给予“增持”评级,并将目标股价定为29美元。
拼多多财报显示,去年第三季度,拼多多实现营收33.72亿元,同比增长697%,环比增长50%。 24%;去年前三季度,共实现74.66亿元营收,同比增长约12倍。不过,不乐观的是,拼多多的净亏损进一步扩大。去年三季度亏损10.98亿元,远高于上年同期的2.21亿元;去年前三季度总亏损77.93亿元,上年同期为5.39亿元。
拼多多仍在投入大量资金吸引新用户,并通过冠名综艺等方式持续拉动用户增速和活跃度。财报显示,去年第三季度,拼多多的销售和营销费用达到32.3亿元,同比增长655%,主要是品牌推广活动的增加和在线和离线广告和促销活动。
拼多多大举营销支出的另一个重要原因是获客成本不断上升。 2017年第三季度,拼多多新用户获取成本为13元,去年上半年飙升至55元。
值得一提的是,虽然拼多多去年第三季度的研发费用同比增长了828%,但其研发费用仅为销售和营销费用的1/10。
新京报记者注意到,拼多多1月20日下午在招聘平台发布了多个风控相关职位,包括风控总监、风控策略/模型专家等。
此次事件后,拼多多的研发费用或将保持较高的增长速度。
已形成高度差异化的黑毛生产产业链
陈峰告诉记者,“刮羊毛”行为是指新兴消费群体从网贷平台、电子商城、银行、实体店等多种渠道收集优惠促销和免费服务信息。迫击炮商店,并注册大量“小账户”。 “模拟大量普通用户参与活动,以相对低廉甚至零成本换取物质利益,这个群体被称为“羊毛党”。
不仅是羊毛,还有赞和海军
新京报记者采访多位专家了解到,目前,黑羊毛生产具有高度差异化的产业链,主要包括:上游软件开发者、脚本开发者、代码接收平台等。批量注册账户;中游黑制作组大量购买手机SIM卡,然后通过茂驰等这些软件工具和硬件设备,将自己伪装成大量普通用户,在各种平台恶意注册账号、募集账号,利用其中,当“砸羊毛”的机会出现时。批量账户赚取收入;下游有支付和清洁转账通道,可以快速将优惠券等资金转出平台。
一位熟悉网络黑产的人士告诉记者,从事黑毛产需要的“硬件”包括手机SIM卡、猫池等,软件包括收码平台、动态IP技术等。 “比如为了限制淘毛的行为,很多平台都会记录注册用户的IP,这时候上游提供技术支持的黑产品可以通过动态IP技术形成一个比较大的动态IP池,并且然后租卖给下游的洗毛黑生产队使用。”
在他看来,凭借上游的软硬件设备,毛线黑产具备注册大量平台账号、领取优惠券的条件。而且刷完券后,还需要一个可以快速变现的渠道。 “在这次拼多多事件中,大量黑品选择将优惠券兑换成Q币和手机话费由系统自动送达。目前已有灰品平台合理变现Q币和手机话费,以及一些购物网站。你也可以在网上买卖优惠券,这是羊毛党的现金流渠道。”
“毛党‘扫毛’的本质是可以模仿大量用户,让发券的公司认不出来。但一般来说,拥有大量账号的黑制作团队可以做的不仅仅是鞭打至于羊毛,大量的账户可以用来产生正面评价,成为一名水手等等,”该人士说。
打击黑毛生产要从源头做起
在采访中,多位专家对新京报记者表示,打击黑毛生产最有效的方法是直接摧毁产业链上游的恶意注册工具商。
新京报记者获悉,辽宁省公安厅已启动“610”打击上游工具软件恶意注册专项行动。一位曾参与此案的网络安全专家表示,在该项目中,其头部锁定了数款恶意注册工具软件,其中一款名为XXTouch,一款按键精灵软件,可以模拟人们操作手机的行为。 ,并拥有简单易用的软件。实现修改工具的功能,包括伪装手机信息和GPS信息的功能。 “总之,在不考虑效果的情况下,XXTouch已经提供了除IP变更外所有链接的恶意注册。在其看似中性的伪装下,实际上是为恶意注册黑品而配备的。全套武器。”
专家表示,打击恶意注册最好的办法是切断恶意注册黑色生产链的上游,生态挤压恶意注册的生存空间。这包括伪造设备硬件信息实现多开的修改工具。没有修改工具,恶意注册是无法实施的;以及群控和按键向导软件,辅助自动化操作。没有自动化,恶意注册无法摆脱高昂的人工成本。
但他也认为,由于恶意注册软件在黑产圈的盛行,开设恶意注册工作室的门槛极低。一次集群行动可以摧毁一个地区的一群帮派,但很可能很快其他地区就会有新的帮派如雨后春笋般涌现。 (陆一夫、罗一丹)