20 日凌晨,拼多多被曝出现重大 Bug 用户可领 100 元无门槛券,该券全场通用,有效期一年。
有部分网友晒出截图显示,充值百元话费百余次每次仅花费 0.4 元。更是有大力薅羊毛者,直接充值了 10 万 Q 币。
直到 20 日早上 9 点,拼多多才紧急,将所有优惠券的领取方式下架。有网友反映,已领却未用的优惠券,已无法使用。
还有网友在拼多多官微留言:“100 元优惠券为什么不能用了?”
对此,@拼多多客户服务在 20 日中午 12 点发布微博回应:
关于这次薅羊毛事故的原因,拼多多发表声明称:是黑产通过一个过期的优惠券漏洞盗取数干万元平台优惠券,进行不正当牟利。
针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。
对于一夜损失 200 亿的谣言,拼多多方面说有很多虚假的信息在网络上传播,是有人在恶意推动。
实际损失或低于千万元,并且正在亡羊补牢中,已向警方报案,最终还能追回不少,实际资损大概率低于千万元。
针对拼多多的官方回应,网友评论是这样的:
这次的事故对拼多多来说影响非常大,现在虽然还在努力追回漏洞订单的款项。但是,由此造成的信誉问题,肯定很难挽回。
拼多多禁止商家发货,能行吗?据新《电商法》第四十九条:“电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择该商品或者服务并提交订单成功,合同成立。当事人另有约定的,从其约定。电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立;格式条款等含有该内容的,其内容无效。”
也就是说,消费者付款以后,商家不能用“格式条款等方式”约定付款后合同不成立的。
不过,拼多多的用户守则中同样规定,用户不得“利用拼多多平台外挂和/或利用拼多多平台当中的 Bug 来获得不正当的利益”。
对于那些发现规则漏洞后,通过修改 mac 地址等方式绕开拼多多的安全监管,伪装成多个虚假账户领取优惠券的用户,那就不是通过正常的注册、登录、支付流程领券,就属于使用违法方式获得不当利益。是要负一定的法律责任的。
根据拼多多的官方申明,此次事件与平台风控体系无关,主要是有黑灰产团伙利用一个已经过期优惠券的程序漏洞,盗取优惠券,进而将事态扩大化。
知乎大牛@半佛仙人表示,拼多多的事件根据现有状况来看,并非只有安全问题,还有业务流程问题,以下是原文。
拼多多给羊毛党发年终奖背后的那些事
昨夜整个羊毛世界都沸腾了。先讲暴露了哪些问题,再讲追责。
①在电商行业,对于无门槛券是非常非常重视的
因为不同于有门槛券(满多少减多少,创造 GMV 和毛利抵扣),某种程度上,无门槛券等同于送现金,所以针对无门槛券,必须有一系列的核身策略,保证这张券不能被相同的人所领取。
核身策略中最常见的就是不同账号出现了同一收货手机号,同一收货地址,同一历史行为,同一 IP,同一设备 ID,同一支付 ID,LBS,资料血缘,关系网络等等等一系列策略,这些可以防范住最大批量的 LOW 比羊毛党和低端机刷党,是电商最常见基础防范手段。
但昨夜,拼多多暴露出来没有这套东西,或者说这套东西没有配置到这张券的 ID 上,因为直接用猫池+脚本 API,就能批量自动操作,这也是巨额数字怎么在 9 小时内就被搞出来的,因为基本没有设置门槛。
②由于无门槛券几乎等同于现金,所以除了核身策略,往往还有其他匹配的风控体系
例如单人领取金额上限(1 个月内领券不得超过 XXX 元),例如券额限制(无门槛券不得高于单张 10 元),例如消费领域限制(不得用于购买 Q 币,话费,游戏充值等虚拟物品)等等。
这一系列的策略的目的就是拦截灰产的变现体系以及追溯灰产身份,例如无门槛只能买实物,那么就必然要留收获地址,那么这个地址就可以做很多事情,即使是假地址。
但昨夜,这一系列限制统统都没有,羊毛党的变现最看重的就是高流通性和赢通性的产品,例如 Q 币,话费,这些东西很容易就能洗干净变成现金,很多羊毛党都有专门的洗白通道,现在这个节点,速度快的羊毛党已经全部变现了。
③即使 1 和 2 都没有,也应该有一整套监控体系
对于优惠券的流向以及流量监控,并且设置报警阈值,失效机制,熔断机制,这些风控和大数据都应该早就准备好的。
就算我上面说的实现起来需要时间,那么就基础电商平台该有的商品销售 TOP10,品类 TOP10 这样的可视化数字大盘也该有吧?
肯定第一时间就发现就 TM 这些 Q 币话费卖的好,GMV 出现同比环比的各种异常。但是也没有,这个东西居然是被研发因为并发异常先发现的。
根据 123,透露出来的问题是,优惠券设置逻辑没有过大脑,高风险业务无风险意识,风控交易与反欺诈策略缺失,数据监控体系及熔断机制缺失,要么是拼多多的风控没脑子,要么就是业务驱动,逼的风控不敢多讲话。
这不奇怪,电商公司都是业务驱动,GMV 是爹妈,风控这种挡 GMV 的角色往往被业务踩在脚下摩擦。
④说完风控,再看看其他部门
这张券是凌晨 1 点上线的,无门槛,大面额,全品类通用,假使这张券真的应该存在,那么,这种券的上线难道没有经过多级审批么?测试没有测出来吗?上线后没有至少 120 分钟的持续观察效果吗?
整个系统上线流程都有问题,运行监控也是缺失。相关的研发到测试到运维,都有很大的责任。
⑤问了下内部的朋友,说是这张券是某人配置失误,系统自动上线
那问题又来了,整个优惠券系统里面,对于券的条件限制(金额,门槛,适用范围)是缺失的,并且在券发布的时候,没有中间隔一层预发环境来做缓冲,也没有做流量测试,就能直接上生产环境?上了也没有持续监控?
即使是配置的运营犯傻,但涉及到现金的业务如此草率,这部分研发是拼多多上买来的吗?
结合 4 和 5,透露出的问题是,整个系统上线机制不合理,业务系统配置中没有加入风险校验环节,预发环境形同虚设,业务上线后的持续人工监控缺失。
考虑到拼多多拿来吹的高并发支持,我只能理解这条壮汉外功已经登峰造极,但内力大概是肾虚的小学生水平,这不意外,因为内功修炼是很难拿出去吹 KPI 的,所以大神程序员都不愿意做,都是能用就行的态度,这是血的教训。
⑥我们来谈谈如何止损
1.已充出去的 Q 币和话费,如果还没有被羊毛党变现,那么也许还能追回一部分,QQ 可以直接回收账号,三大运营商也能锁号扣费,但是这里面涉及到了很麻烦的一个问题。
那就是他们凭什么配合拼多多?因为这些交易都是拼多多认可后才让他们执行的,他们没有道理由着拼多多任性,腾讯爸爸可能会帮一把亲儿子,但是三大运营商可未必会配合。
另外不知道拼多多和他们是怎么结算的,是像 iPhone 代理一样实时结算,还是类支付宝的先资金池再按时结算。
如果是前者,那基本很难追回了,如果是后者,那就是一场惊天撕逼大战。
2.拼多多肯定不会善罢甘休的,羊毛党深知这一点,所以才在薅够了之后公开这个 Bug,期望把水搅混,法不责众。
这个 Bug 是夜里 5 点左右公布出来的,然后就是全民狂欢,这些狂欢的人,我们一般称之为肉机,就是真人,真机,真身份,真行为。
现在的情况是,假使拼多多报警,能否抓到这些羊毛党头子,作为攻防的老手,我想说的是可以抓,但前提是拼多多有足够多的人力物力往里面投,并且数据保留要足够精准。
如果拼多多的数据部门和运维部门傻到定时清缓存,或者设置了某个系统 Bug 直接重启的话,那就不用抓了,没数据你怎么追溯。
另外就是这些被刷的都是虚拟物品,就看拼多多能不能抓住他们变现的节点来追溯身份了,祝他们好运。
3.这批羊毛党一定有法律风险,但是只是那批最 Low 的会被逮住,最大的几个早就变现隐匿了,人家用的东西都是没法追溯的。
真正的反追溯不是隐藏自己,而是创造更多虚假的自己,这才是高手所为。
4.不用担心拼多多破产,最终的实发金额,亏损金额,未追回金额等等一系列的数字没有那么夸张的,不过买了拼多多股票的各位,下一个交易日见。对于电商而言,这么初级的错误很有可能会导致投资者信心丧失。
总结一下这个案子,拼多多是狂奔的超级独角兽不假,但在业务猛增的时候,内功没有修炼好,导致被一剑封喉。
原本就不该出现这种券,就算出现了也不该上线,就算上线了也应该被监控到,就算没有监控到也不该被同一批人领走,就算被同一批人领走也不该能应用于虚拟物品,就算能被应用于虚拟物品也不该 9 小时后才被制止,这其实不是一个问题,而是一系列问题。
这一系列不应该的阴差阳错,导致了这个巨额亏损,那么问题来了,这一系列问题下,拼多多的交易数字还可靠吗?之后美股怎么看这件事?这也是一场好戏。
内功一塌糊涂。至于为啥不修内功嘛,一来修内功外人看不到,对外不方便吹风讲故事,对内不利于个人晋升答辩(毕竟风控这种东西,除了金融领域,都很难量化成果),这种事情聪明人最不爱做了,可惜这只是小聪明。
二来嘛,很多电商为了讲故事,拉高估值,GMV 可着劲儿注水,高层睁一只眼闭一只眼,很多运营恨不得管羊毛党叫爸爸,跪求他们来薅,反正羊毛薅完,GMV 是特别好看,亏损是公司的,绩效奖金和升职加薪是自己的,所以何苦来哉?
对风控而言,最大的敌人,永远在内部。这是风控的宿命。
总结
这次 Bug 事件,对于刚上市不到一年的拼多多来说无疑是一个重大的打击。
当然不止拼多多一家,此前京东、苏宁等电商商城都出现过类似送优惠的 Bug,不过大部分都选择自掏腰包为错误买账,不知道这次拼多多后续会怎么处理呢?
刷单、套现和羊毛党,是电商平台最为常见的黑产行为。尤其是羊毛党,一旦有可乘之机,就像空气一样无处不在。
这次事情,也算是拼多多为自己的成长买单。对于平台来说,如何做好风险控制、基础运维、预警,杜绝羊毛党等黑产已经越来越重要。
