一个过期的票券漏洞,可能引发国内最大的黑灰产品资产损失事件。
1月20日凌晨,有网友称拼多多存在重大bug。“充100元话费,你只需要付40美分。” 根据网友晒出的截图,拼多多的100元无门槛优惠券是通用的(特价商品除外),有效期为一年。
拼多多称,当日凌晨,一伙黑灰产品通过过期优惠券漏洞盗取平台优惠券数千万,非法获利。
针对此事,拼多多表示,上海警方现已以“网络诈骗”罪立案,成立专案组,并按照“财产保全”相关规定,批量冻结涉案订单。 ”。拼多多平台正在配合警方追查涉案订单的来源,最终根据警方的调查结果,依法依规处理相关订单。
对于损失高达200亿的说法,拼多多回应称该数字不实。拼多多称,黑灰团伙盗取大量优惠券,涉案金额达数千万元。
由错误引起的“羊毛”事件?
黑灰生产团伙利用漏洞盗取千万券
1月20日上午9点5分,小楠在她的“女朋友群”里收到了一个链接。女友告诉她,只要点击链接,就可以获得100元的拼多多优惠券。
“我以为是大促还是新品大促,就下载了拼多多app,选了它,点了一个一直想买的智能音箱。” 肖楠告诉新京报记者,她收到的优惠券是“无门槛,有效期一年”。
“我室友在她的朋友群里看到了这个链接,然后转发给了我们的闺蜜群。后来看到网上热搜后,我意识到我的行为可能涉及羊毛。” 小楠说:“1月20日上午10点20分,我已经联系顺丰快递了我用优惠券购买的产品,还告诉了我运单号,但到现在产品还处于'状态'商家正在通知快递公司自取'状态。”
在最新的情况说明中,拼多多表示,黑灰制作团伙利用“优惠券漏洞”盗取的相关优惠券,是拼多多此前与江苏卫视《非诚勿扰》合作时,因需要节目录制。优惠券类型,仅供现场宾客使用。
然而,黑灰生产团伙通过扫描异常手段生成的二维码后获取相关优惠券,且该二维码大多在社交平台相关黑灰生产群中流传。通过这个二维码,每个认证信息的原始用户只能领取100元的优惠券,没有门槛,而不是网上流传的可以“无限”的单一ID。
于是,黑灰生产团伙通过“养猫池”(用手机卡保有大量虚拟账户)等非法手段,实现N张手机黑卡同时经营,批量盗取此类优惠券,并使用手机话费、Q币等方式进行虚拟充值,企图在短时间内快速转移此类不当收入,涉案优惠券总额达数千万元。
拼多多风控团队负责人表示,黑灰团伙在盗取巨额优惠券并转移不当收入后,希望达到“法不怨民”的效果,并迅速分享了二维码通过互联网和社交团体。走出去,诱导一些普通消费者跟风扫码。
拼多多强调,此类优惠券从未在任何时候以任何方式出现在平台正常的线上推广活动中,甚至从未出现过任何线上入口,拼多多也从未为该类型生成过任何优惠券。二维码。不过,二维码的具体生成和传播过程,还有待警方调查的最终结论。
值得注意的是,专业的毛线党看中了话费,Q币自动送达,所以券很快兑现了。对于拼多多来说,能否从三大运营商和腾讯手中挽回这一损失值得怀疑。目前,拼多多尚未披露是否有追回资金损失的具体方案。
取消优惠券、禁止商家发货合理吗?
拼多多称其为“优惠券欺诈”,专家:追回优惠券是合理的补救措施
BUG被用户“捡”的现象在国内互联网行业屡见不鲜。
2018年元旦期间,腾讯视频推出了优惠充值活动。但由于活动服务器后台数据异常,部分本应优惠18元一个月的用户,居然只收了0.2元。. 当时,该漏洞共吸引了 39 万用户。
随后,腾讯宣布这是公司的工作失误,公司将这些异常订单全部兑现,没有扣减。最终,腾讯为这个bug付出了5000多万元,但同时也获得了网友的好评。
然而,拼多多并没有自掏腰包“听从舆论”。发现漏洞后,拼多多于当日9:00左右紧急下架所有优惠券领取方式,取消用户已领取但未使用的优惠券。记者注意到,当时拼多多也对App进行了优化更新。. 为了补偿用户,拼多多向受影响的用户发放了5元无门槛优惠券,有效期50年。
拼多多表示,此次事件与其他公司因bug导致的一系列资产损失事件有着本质的不同。这次是一起“墨盒诈骗”的网络诈骗案。“比如,前者比作网络中‘ATM机误取款’的现象,后者相当于非法团伙打开ATM机盗窃。”
电子商务研究中心主任曹磊认为,从法律责任认定和用户权益保护的角度来看,如果是平台发起的活动,就应该按照官方的指示兑现承诺,相当于与用户在线签订协议,平台当然要执行。. “但拼多多相关声明显示,优惠券是通过优惠券过期漏洞盗取的。根据《合同法》的相关规定,拼多多不需要为取消或撤回优惠券承担法律责任。”
他表示,如果拼多多的优惠券漏洞是黑毛生产方的恶意行为,此类交易属于“重大误会”订立的合同,“(拼多多)可以要求撤销”。
北京康达律师事务所律师韩晓也认为,拼多多撤回已收到但未使用的优惠券,不会与新出台的《电子商务法》相冲突。在本次事件中,拼多多的回应是收回已收到但未使用的优惠券,这是一种合理的补救措施。
据记者了解,当日11:00左右,拼多多工作人员已向部分商家发出通知,凡使用100元无门槛优惠券的订单一律不得发货。
根据《电子商务法》第四十九条的规定,电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择商品或者服务并成功提交订单,合同生效。成立。当事人另有约定的,以约定为准。电子商务经营者不得以格式条款约定消费者支付货款后合同不成立的;格式条款包含该内容的,该内容无效。
曹磊表示,拼多多的做法与《电子商务法》不冲突。“恶意利用系统漏洞获取的优惠券,在支付中不能有效抵扣相应的支付义务,应视为未履行支付义务,不受电子商务法第四十九条第二款的限制。商家可以不发优惠券。货。”
中国政法大学知识产权中心特约研究员赵展告诉记者,如果用户使用优惠券在拼多多上购买了第三方商家的商品,用户与商家之间的合同有已经成立,拼多多可以追究用户的责任,但不能阻止商家发货。
为什么会发生“羊毛”事件?
拼多多表示,该事件发生在平台大促期间,不涉及数据安全问题
对于风控问题,拼多多表示,公司一直以来都建立了风控体系,此次事件不涉及任何数据安全问题,平台消费者正常领取的优惠券使用不会受到影响。为进一步强化“特价券”相关风控体系,拼多多透露,公司已成立技术团队。
对于拼多多“砸羊毛”的问题,反欺诈安全团队专家陈峰(化名)表示,防止平台被恶意“砸羊毛”的手段有很多,包括限制总数。优惠券和优惠券的应用场景,“比如设置最多10万张优惠券,只能用于200元以上的实物订单,加上最基本的防刮毛策略,可以确保不会出现重大问题。”
至于风控系统为何未检测到异常,拼多多回应称,该事件发生在平台大促期间,消耗了大量平台正常发放的优惠券。直到上午9:00,被盗优惠券和普通优惠券的总和才超过平台预设的阈值。系统监测到异常并自动报警后,拼多多第一时间修复了相关漏洞。
根据网友的截图,此次事件中拼多多的优惠券“万能无门槛”,有网友晒出充值电话和购买Q币的截图,有的充值金额甚至高达5万元。“这次事件中,拼多多的业务规则出现了问题,没有设置最基础的防刺羊毛措施。” 陈枫说道。
在陈峰看来,确实有专业的“羊毛党”。针对不同的平台,这些毛方有注册账号(涉及手机号、收码平台等)、下游支付渠道、清扫和转账渠道等,消息灵通和专业性强设备决定了这些羊毛党的收入。
“羊毛党”的行为是否涉嫌犯罪?
律师:可能涉嫌盗窃,取决于司法部门的认定
事实上,《拼多多服务协议》7.1中已经明确指出,用户使用拼多多平台插件和/或利用拼多多平台漏洞获取不正当利益。
韩萧表示,用户利用系统漏洞从平台领取大量优惠券并从中获利,可能涉嫌盗窃,如果获利金额达到相关标准,可能需要承担刑事责任。不过他强调,如果是平台的普通客户,他并没有自觉地通过这个安全漏洞获取大量优惠券牟利,而只是收到了少量优惠券。没有主观盗窃意图,客观利益未达量刑。标准,不构成盗窃。
陈峰表示,目前很难判断黑毛生产是否涉嫌违法犯罪,“一般来说,企业要先报案,而在之前的实际案例中,多数情况下可能会协商。违法或犯罪也取决于检察官办公室的特征。”
拼多多在最新公告中表示,平台不会对被胁迫的普通消费者追究进一步责任,但不支持此类异常行为。
电子商务研究中心特约研究员、北京盈科(杭州)律师事务所律师方超强认为,产黑灰其实是一个网络名词,没有明确的概念和外延;从拼多多事件,所谓的“产黑灰队”,几个事实应该清楚了:1.应该是主动寻找系统漏洞,而不是系统破坏和篡改;2.主观上知道是漏洞;3.客观上利用漏洞牟利;4.优惠券应该是具有一定价值的财产。从犯罪要件来看,我个人认为盗窃罪是怀疑。
中国政法大学传播法研究中心副主任朱伟表示,当平台出现优惠券bug且原因不明时,有两种情况:一是bug涉及计算机系统损坏,属于《刑法》破坏计算机信息的行为。制度犯罪,情节特别严重的,有五年以上有期徒刑。第二,如果不涉及系统损坏,而只是利用漏洞。情节严重的,在实践中就涉及盗窃或者侵犯知识产权罪。如果不严重拼多多代刷平台网址,所获得的优惠券属于不当得利,应当退还。
在这次拼多多事件中,黑灰制作组在刷了足够多的优惠券获利后,出于“不怪大众”的心态,向公众发布了优惠券链接。朱伟认为,对于发布相关信息的人,除自己刷单外,传播此类信息可能涉及前罪从犯,也可单独构成传授犯罪方法罪,或构成扰乱行政处罚。市场秩序。
在朱伟看来,刷量少的人一般不构成犯罪,但其“所得属于不当得利,应及时返还”。如果在公布事实后进行盗刷,则构成盗窃罪。
曹磊表示,从严格意义上讲,黑灰生产的认定应当由相应的监管部门或公安网管主管部门确定。当然,如果平台方能够提供充分有效的证据材料,也将有助于监管、司法、公安等部门的认定。
对拼多多的影响有多大?
目前营销费用惊人,正在招聘大量风控专家
凭借全新的社交电商方式,成立仅三年的拼多多已成为中国最成功的独角兽公司之一。摩根士丹利近日发布研究报告,将拼多多首次纳入研究范围,给予“增持”评级,并将目标股价定为29美元。
拼多多财报显示,去年第三季度,拼多多实现营收33.72亿元,同比增长697%,环比增长24%;去年前三季度,共74.66亿元营收同比增长约12倍。但不乐观的是,拼多多的净亏损进一步扩大。去年三季度亏损10.98亿元,远高于上年同期的2.21亿元;去年前三季度累计亏损77.93亿元,上年同期亏损5.39亿元。
拼多多仍在投入大量资金吸引新用户,并通过冠名综艺等方式持续拉动用户增速和活跃度。财报显示,去年第三季度,拼多多的销售和营销费用达到32.3亿元,同比增长655%,主要是品牌推广活动的增加和在线和离线广告和促销活动。
拼多多激进的营销费用的另一个重要原因是获客成本正在上升。2017年第三季度,拼多多新用户获取成本为13元,去年上半年飙升至55元。
值得一提的是,虽然拼多多去年第三季度的研发费用同比增长828%,但其研发费用仅为销售和营销费用的1/10。
新京报记者注意到,拼多多于1月20日下午在招聘平台发布了多条风控相关的招聘信息,包括风控总监、风控策略/模型专家等。
此次事件发生后,拼多多的研发费用或将保持较高的增长速度。
■ 扩展
“扣毛”黑色生产形成高度差异化产业链
陈峰告诉记者,“刮羊毛”行为是指新兴消费群体从网贷平台、电子商城、银行、实体店等多种渠道收集优惠促销和免费服务信息,并注册大量“小账户”,模拟大量普通用户参与活动,以相对低廉甚至零成本换取物质利益。这个团体被称为“羊毛党”。
不仅“拧毛线”,还被点赞成为水手
新京报记者采访多位专家了解到,目前,黑羊毛行业拥有高度差异化的产业链,主要包括:上游软件开发商、脚本开发商、代码接收平台等提供可注册的工具分批开户;制作组购买了大量的手机SIM卡,然后利用茂驰等这些软件工具和硬件设备,将自己模拟成大量普通用户,在各种平台上恶意注册账号、募集账号,并使用了大“砸羊毛”机会出现时的账号数量。赚取收入;下游有支付和清洁转账通道,可以快速将优惠券等平台内资金转出。
一位熟悉网络黑产的人士告诉记者,从事黑毛产需要的“硬件”包括手机SIM卡、猫池等,软件包括收码平台、动态IP技术等。 ,为了限制淘毛的行为,很多平台都会记录注册用户的IP,这时候上游提供技术支持的黑产品可以通过动态IP技术形成一个比较大的动态IP池,然后出租和卖给下游洗毛黑生产队使用。”
在他看来,凭借上游的软硬件设备,毛线黑产具备了注册大量平台账号、领取优惠券的条件。而且刷完券后,还需要一个可以快速变现的渠道。“在这次拼多多事件中,大量黑品选择将优惠券兑换成Q币和手机话费由系统自动送达。目前已有灰品平台合理变现Q币和手机话费,以及一些购物网站。你也可以在网上买卖优惠券,这些都是羊毛党的现金流渠道。”
“毛党‘扫毛’的本质是可以模仿大量用户,让发券的公司无法识别。但一般来说,拥有大量账号的黑制作团队能做的不仅仅是鞭打羊毛。这是一回事,大量的账户可以用来产生正面评价,当水手等等,”该人士说。
打击“毛”黑生产要从源头做起
采访中,多位专家告诉新京报记者,打击黑毛生产最有效的方式是直接摧毁其产业链上游的恶意注册工具商。
新京报记者获悉,2018年,辽宁省公安厅针对上游工具软件恶意注册发起“610”专项打击。一位曾参与此案的网络安全专家表示拼多多代刷平台网址,在“610”项目中,其头部锁定了多款恶意注册工具软件,其中一款名为XXTouch。它具有可以简化修改工具实现的功能,包括伪装手机信息和GPS信息的功能。“总之,在不考虑效果的情况下,XXTouch已经提供了除IP变更外所有链接的恶意注册。在其看似中性的伪装下,实际上是为恶意注册黑品而配备的。全套武器。”
专家表示,打击恶意注册最好的办法是切断恶意注册黑色生产链的上游,生态挤压恶意注册的生存空间。这包括伪造设备硬件信息实现多开的修改工具。没有修改工具,恶意注册是无法实施的;以及群控和按键向导软件,辅助自动化操作。没有自动化,恶意注册无法摆脱高昂的人工成本。
不过他也认为,由于恶意注册软件在黑产圈的盛行,开设恶意注册工作室的门槛极低。它像蘑菇一样冒出来。