1月20日凌晨,有网友发觉拼多多100元无门槛券存在BUG,用户可以无限制的发放100元无门槛券。于是,大批网友开始凌晨“薅羊绒”。
据网友统计,这次BUG拼多多起码被薅走200亿。小编由于睡得早,错过了这场几个亿的大活动,感觉损失了甚大啊!
昨天,拼多多官方发布申明,称有黑灰产通过漏洞不正当敛财,并已报警。
事件还原:“羊毛党”利用拼多多bug疯狂充话费和买点券
1月20日凌晨,拼多多曝出出现巨大漏洞,用户可领100元无门槛券,有大批用户下午上线“薅羊绒”,利用无门槛券冲值话费、买点券,充100元话费只须要0.44元。
网络截图显示,有人充的话费已够用10几年,还有人晒图表示已买了90多万元点券。
网络疯传:拼多多被“羊毛党”利用bug薅走200亿
市值260多亿美元的拼多多被薅走200亿人民币是哪些概念?拼多多2018年1-3季度累计营业收入才75亿元人民币,2017年全年才17亿元人民币。200亿比10个2017年的营业收入还要多。有网友为此担忧,没有被“假货旋涡”洗白的拼多多,会不会因此次bug而一夜倒闭。
但从拼拼多公告来看,其表示被窃取了数千万元平台优惠券。
羊毛党的还击:请拼多多履行协议义务
针对平台出现的BUG,拼多多平台采取了紧急举措,冻结了这类100元的无门槛优惠卷。并且表示会借助技术手段追溯追踪,采取法律的手段对涉事的羊绒党们进行严打。
辛辛苦苦一晚上的羊绒党们,有的还没来得及使用这种优惠卷,在第二天睡醒时就发觉自己帐号上面的优惠卷都被停用了。顿时就有羊绒党不愿意了,一部分人挪到平台下边去留言抨击。有侮辱的、有质疑平台的,一时之间这儿如同弄成了一个电商的“维权”现场。
但是,许多参与薅羊毛”的网友并不认可拼多多“打击网路黑灰产结伙”的观点,纷纷在拼多多官微留言指责拼多多搞虚假营销。
更有网友对拼多多单方面关掉订单拒绝发货的行为,表示要进行索赔。
拼多多是否有权撤消优惠券?
在本次风波中,拼多多觉得由“黑灰产”团伙通过平台漏洞获利,并表示将对涉事订单进行追溯追踪。那么“黑灰产”应该由谁来划分呢?
电子商务研究中心校长曹磊表示:“‘黑灰产’的认定从严格意义上讲,应该由相应的监管部门,或者是公安网警来进行认定。当然,平台方假如才能提供充分有效的证据、材料,也将有助于监管、司法、公安等部门进行认定。”
英冠律所律师钟振宇介绍,《合同法》第186条规定了赠予人享有任意撤销权,即赠予人在赠予财产的权力转移之前可以撤消赠予。其目的就是赋于赠予人与受赠人达成合意后法定要件实现前以悔约权,使赠予人不致因情绪冲动,思虑欠周,贸然差遣将不动产等价值贵重物品无偿给予别人。“总体来说,优惠券是属于赠予行为,我觉得可以合理撤消。”
曹磊觉得,拼多多在公布以后,可能会有少量的用户会退回,但是绝大部分都早已冲值或消费掉了,这样追回比较困难。还没使用的可以冻结,以挽回损失。
“薅羊毛”的消费者有错吗?
“薅羊毛”的消费者有错吗?法律学者朱巍觉得这要分为多种情况。若是涉及人为破坏计算机系统出现漏洞的,属于《刑法》破坏计算机信息系统罪,情节非常严重面临五年以上的累犯。
其次,若是不涉及到人为破坏系统,仅是借助漏洞,这类情形严重的话,实践中涉及盗窃罪、侵害知识产权罪。
再次,除了自己“薅羊绒”,还发布漏洞信息的人,传播这类信息可能涉及到后面罪名的累犯,也可以单独构成传授犯罪方法罪,或构成搅乱市场秩序的行政处罚,这个行为起码会影响到个人信用。
最后,少量“薅羊绒”,一般不构成犯罪,所得属于不当得利,应及时给以退还。不过,若是在事实公布后还继续“薅”的,这就构成盗窃罪。
还有什么黑灰产风波?
东航机票出现bug,大部分机票仅为50元
2018年11月17日凌晨,东航系统被爆出现bug,很多航线的机票折扣极大拼多多网赌充值可以退吗,部分机票价钱仅为50元,多条国外航线头等舱商务舱往返机票,最低只需90元!
一时间,东航bug成了微博热搜。面对这一突发性事件,东方航空是怎样应对的呢?人民日报微博发表了题为“东航这波被网友称为教科书式的公关到底怎么回事”的微博:
东航在事后发布通报称,在系统维护时售出的所有机票(支付成功并已出票)全部有效,旅客可正常使用:
腾讯视频会员冲值18元仅扣0.2元
2017年12月31日,腾讯视频会员冲值出现异常,原本18元的9折冲值活动,仅扣费0.2元。财大气粗的腾讯除了对已冲值的用户全部兑现,而且退回了用户被扣的0.2元。
经统计,在12月31日服务器系统异常期间,因0.2元漏洞所形成的订单共计287万笔,涉及39万名用户。腾讯视频将根据上述用户的实际冲值时长来完成每一笔订单。如果按单笔订单平均冲值一年会员来算,损失超过5个亿。
东鹏特饮薅羊绒风波
东鹏特饮是广东一家饮料公司,传统促销活动是瓶塞中奖,随着互联网的普及,决定尝试新的方法——扫二维码领红包,想借助互联网省去冗长的流转,顺便搜集客人信息,不料羊绒党却给了她们当头一棒。
随着活动的升温,迅速出现了大量走私东鹏特饮CDK(码子)的人。所谓码子就是将活动二维码转换成的链接。购买码子后用陌陌点击便可以领到红包。渠道商和羊毛党手中的陌陌帐号有限,但码却好多,他们以略高于最低额度红包的价钱售卖,购买者也是稳赚不赔。而订购CDK的是普通用户吗,只能说比列太少,普通用户哪有渠道晓得CDK的存在,大多是手中拥有好多陌陌帐户的其他灰产从业人。他们平常的业务是用微信号加大量好友,再通过盗窃、微商等方式变现。东鹏特饮CDK只是顺便的行为之一罢了。
总之在利益的推动下,迅速有人与废品回收站核心节点合作,低价大量竞购盖子,提取二维码信息,市场上称为“废品码”,与之对应的是“必中码”,是打通关系后从生产盖子厂商、内部人员等处订购的,将二维码一键生成链接,转手借给渠道商,渠道商再分发给各级下线,一套流程出来,层层都有收益,做活动的企业就成了冤大头。最终结果就是东鹏特饮发觉实际兑换的奖金金额远远低于预期,而收获的只是营销疗效为0的“僵尸用户”。
苹果36技术漏洞致上亿资产损失
同样遭到薅羊绒的还有苹果。用户在iOS上消费后,苹果公司会根据比列与app服务提供方进行分账,以季度结算。结算时,大量商户发觉苹果的分成和实际销售金额相差甚远。在查看之下,发现了真实缘由:被薅。
一些帐户进行了6元和30元的小额消费后立刻消失了,存在批量痕迹。原来苹果为了提高用户体验,设置了40元以下小额冲值可以不验证,先派发商品的策略。对黑产来说,此举意味着每位大号36元的收益,立刻展开了行动。
他们会首先通过脚本批量注册大量邮箱帐号。国外一些邮箱注册不需要提供手机号,这一步操作几乎是“无成本”的。完成后,会借助软件,批量生成Apple ID,再批量激活。大部分厂商会在IP短时间注册量上进行判定,对黑产来说这一步的成本就是更换IP的成本。
对此恐吓猎人会在下列产业链部份详尽论述黑产躲过IP检查的方式。
消费须要绑定交行卡,对于大量的交行卡需求,黑产的解决方案是家庭共享和注册虚拟农行卡。设置家庭共享后,每个帐号可以有8个附属帐号共享同一张银行卡,而这张银行卡是一张虚拟卡,当黑产持有一张银行卡后,可以线上向开卡行申请虚拟交行卡,卡号会和原卡不同,但都是属于同一个帐户。
当苹果发觉盗刷行为会对该帐号封号,当多个附属帐号被封后,苹果会将主帐号与其绑定的交行卡纳入黑名单,这时,黑产会将虚拟卡注销,重新申请,完全不影响继续使用。苹果也会对设备进行检查,这时黑产会结合改机软件,在被锁机前刷新设备指纹,轻松解决。薅羊绒后,黑产还会借助优价优势,通过各类渠道销售虚拟商品进行变现。游戏和版权行业是被害的重灾区。
针对36技术,苹果进行了策略调整,新注册用户限制使用先派发后收款的模式。然而此举对黑产来说只是增强了一点成本,还在接受范围中。造成的影响是黑产对老号的需求急剧降低,等待着苹果的问题将是盗号、撞库、养号等等。如上述变现环节,因为冲值限制,会索取用户(购买黑灰产手中虚拟商品的人)的帐号和密码,这个帐户就可以“回收”投入下一轮的借助。账号相关的产业链详尽论述可参考下文帐号模块。
滴滴被十几万帐户虚假注册
按照相关规定,网约车平台对注册司机须要进行相关考评审查,如有一定的驾驶年纪、北京要求“京人京车”等。很多不符合规定的人想完成注册,就会借助一种“代注册”的黑产业务。
2017年9月,滴滴向广东省公安厅网监支队举报,发现发觉几十万帐户存在虚假注册、人车不符的问题。经查,发现了背后黑产公然的敛财行为。驾龄不符、外地车不派单、车辆超龄都可以收钱“解决”。
首先黑产信息源通过行业内鬼等,查到真实符合规定的人车信息。一级中间商从信息源订购汽车人员信息。然后加价转售给二级中间商,二级再加价转售给代注册操作员。代注册操作人再通过PS等形式“加工信息”,与购买者信息结合,将分别合规的信息整合为一整套,完成注册操作,收费300-500元不等。而虽然被发觉,滴滴也只能对司机进行封号处理。
有些操作人都会顺便薅一把嘀嘀的羊绒,如借助推荐机制,滴滴公司规定,每推荐成功一个司机,就能获得218元冲锋奖,和新司机前8个订单30%的流水。不难想像在各家网约车竞争期,活动不计成本,都只想着在大战中存活的时侯,代注册一伙才能获得多么巨大的收益。
事实上,在嘀嘀快的大战时,虚假司机帐户就是主要是拿来刷单,结合外挂敛财的。当网约车合并,国家监管变严后,代注册结伙转而向不符合规定的人售卖服务,部分结伙都会以转让“注册教程”的形式获取额外收益,这种教学收费模式常常是在本身利益减低时会形成的,当利益巨大时拼多多网赌充值可以退吗,掌握技巧的人只会默默挣钱。
这一系列敛财行为不只是对嘀嘀引起了伤害,也会对普通用户导致伤害。如嘀嘀外挂会通过更改定位等方法实现“挑单、抢单”。而嘀嘀不得不将距离最优算法,改成几公里内随机派单,而用户只能忍受明明看见身边有车,却须要在严寒中等待三公里外的一辆车。
更令我们警醒的是,我们的个人信息,竟然是如此容易可以获得的。事实上,黑产的社工库也确实在不断建立,数据量越来越多,精准度越来越高,被广泛的用在撞库、诈骗等处,让人咋舌。滴滴这样的认证较为复杂,被应用更普遍的图形验证码、身份证认证、面部辨识认证都有着发展稳定的服务产业链,将在下文帐户认证部份做出介绍。
Uber大规模数据泄漏
Uber在2017年遭到了大规模的数据泄漏,包括5000万用户的姓名、邮箱、电话。和700万司机的个人信息及60万日本司机驾驶证号码。Uber称信用卡等信息数据并没有窃取。5700万数据,与雅虎、美国信用机构Enquifax泄漏规模相比,本不值一提,在黑产中也不算惊天的数据。但Uber的做法导致了你们的关注——向黑客支付赎金。
当时的CSO和助理,以支付10万美金的方法企图隐瞒此事,避免Uber数据在黑市流通。事后二人受到了解雇,CEO迫离职,Uber最终申明并没有证据表示这次风波的数据被黑客借助,并将为信息泄漏的司机提供免费的信息保护监控服务。
黑客获取数据的形式令人好奇。事实上她们是从Uber工程师的私人GitHub库,获得了登陆账簿,进而访问了Uber用以估算的亚马逊云服务帐户,在帐户中发觉了用户数据,随即进行了恐吓行为。我们不禁发觉功击有时只须要找到一处漏洞,而逼抢却须要全面严密。而不仅逼抢还有另外一个问题须要我们面对——对早已泄漏的数据该怎么行动。Uber隐瞒的做法自然是不可取的。
而面对这些问题一个暴力而有效的对抗方法是构建比黑产更庞大的泄密数据库,若能在黑产使用这种用户信息时判断出是已泄漏帐号,直接触发风控逻辑,进行更严格的初审,绕过黑客的防护手段,对敌方导致了难以回避的严打。而构建这样的数据库不仅须要有效、实时的搜集补充方案,也须要各大厂商的分享和参与,收集多方资料,构建更全面的数据源。
星巴克被虚假注册用户40万
2018年12月17日,星巴克上线“星巴克App注册新人礼”营销活动。然而,该活动疑似因遭到黑灰产功击,在上线的第二天就停止了。
据隐私护卫队了解,星巴克App注册新人礼活动称,12月17—23日,凡通过肯德基App成功注册星享用户俱乐部帐户的新会员均可获得一份饮料券,饮品券在成功注册24小时内配置到帐户内,用户可凭券免费兑换任意一杯中杯圣诞当季特饮。
18日下午,以情报能力为核心的业务安全解决方案服务商恐吓猎人的公众号推出文章——《星巴克新活动仅三天就被疯狂薅羊绒,企业业务安全告急!》。文章表示,星巴克推出的营销活动遭到黑灰产大规模功击,并紧急下线该营销活动。
“我们检测到黑灰产虚假注册量已达到40万。”威胁猎人相关负责人对隐私护卫队表示,此次麦当劳推出的活动门槛较低,黑灰产只须要一个新的手机号并递交一些基本资料即可领券,而且麦当劳推出的这个活动还存在没有辨识黑卡、猫池号码等漏洞,其本身也没有做好设备指纹上的对抗,这引起用户可以在一个手机上用多个手机号进行注册。
所谓猫池号码,威胁猎人解释说,黑灰产通过各类方式批量地开手机卡,有一些人手握几千、上万甚至数十万的手机卡,专门拿来收发验证码、注册帐号等,比如黑灰产借助猫池号码注册麦当劳帐号获取优惠券,成本仅为0.1元(接收邮件的成本),然后再将优惠券卖出去。
【爱上海综合整理,部分内容来自中国经济网等,图片如有侵权请联系删掉:85702000】
