拼多多“血腥一夜” 重大漏洞“羊毛党”牟利

加拿大都市网

▲有网友表示,凌晨3点多被喊醒,去拼多多“薅羊毛”,只需支付4毛钱,就可以充值100元话费。
网上图片

中国知名电商平台拼多多网络APP于1月20日凌晨爆出重大漏洞,用户可无条件领取100元人民币(下同)优惠券,吸引用户大捡便宜。拼多多发现后紧急关闭漏洞并即刻向警方报案,称是遭黑客入侵所致。网络上盛传拼多多一夜损失200亿元人民币,但拼多多澄清仅约千万元。

东方航空突然出现大量0.4折机票

2018年11月17日,东方航空官方APP、网站突然出现大量0.4折机票,当日午间,东航即发表回应,称此次“白菜价”机票于系统维护时售出,所有支付成功并已出票的机票均为有效。

小米原价599元的商品只需要0.01元
  

2018年4月,小米旗下的米家有品商城也曾出现过价格Bug:原价599元的商品只需要0.01元就可购买。但因为所购商品都是实体物品,平台发现Bug时商品也还未寄出,最终,米家有品提供的解决方案是取消订单并赠送用户优惠券。

腾讯18元视频会员0.2元就能买
  

2017年末尾,腾讯视频出现重大Bug,原9折优惠的18元一个月视频会员,0.2元就能买。腾讯视频紧急关停续费通道,宣布全额退款并回收该活动开通的会员天数,为表歉意还赠送了额外3天VIP时长。

拼多多重大网络漏洞

拼多多1月20日凌晨被爆料出现重大网络漏洞,用户可领100元无门槛优惠券。网友表示,有大批用户开始“薅羊毛”,一个晚上200多亿都被拿来充值电话费。

拼多多方面称,“有黑灰产集团通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。”拼多多相关新闻发言人则表示:“没想到在系统没有任何资料安全漏洞的情况下,灰黑产还能利用规则漏洞薅走总价值数千万元的优惠券。”据《证券日报》报道,拼多多称,平台已在第一时间修复漏洞并报警,公安机关已经介入调查。

有用户被强制退款

据网络上流传的真真假假的截图中显示,有用户称熬夜借助漏洞充值了几万元话费,更有消息称拼多多一夜之间被薅走200亿元。

但这一资料随后被拼多多方面证伪,拼多多新闻发言人表示:“真的没有200亿元,深更半夜的,全国人民全部起来每人薅十块钱,大家觉得可能么?”该人士表示:“羊毛党刚散,亡羊补牢中,已向警方报案,最终还能追回不少,实际资损大概率低于千万元。”

拼多多直到20日上午9点才将相关优惠券全部下架,并私信向大量领券并兑换使用的用户表示,这种行为已经违背服务协定,希望如数归还,否则将在14个工作日内,提起诉讼。对于平台是否会追回损失的问题,拼多多回应称,目前平台正对涉事订单进行溯源追踪,并将根据警方调查结果对相关订单做出最终处理。

一些用户20日晚称,自己用优惠券购买的商品被拼多多“强制退款”。许多网友表示,目前帐户内的100元无门槛券已被拼多多官方回收。网友纷纷跑到拼多多官方微博抗议,有表示“欺骗消费者”“315见”的,但也有表示“本来就够惨了,还要别人倒闭不成”。

律师称或涉不正当得利

所谓的“羊毛党”,是指那些专门选择网络的行销活动、以低成本,甚至零成本换取高额奖励、收益的人。 “羊毛党”的获利行为,一般被人称为“薅(意同拔)羊毛”。

上海创远律师事务所高级合伙人许峰介绍,如何定义此次拼多多用户“薅羊毛”的行为,还要看拼多多方面的用户协议是如何约定的。律师解释,如果是平台合理的让利,那么用户“薅羊毛”是合情合理的。至于通过“薅羊毛”手段获利上万元甚至十几万元,“那么用户也不会认为是正常让利,可能属于不正当得利。”拼多多协定的用户守则明确将“使用拼多多平台外挂和/或利用拼多多平台当中的BUG来获得不正当的利益”列为禁止行为。

在上海社科院互联网研究中心首席研究员李易看来,用户“薅羊毛”对于拼多多而言或许并非是坏事,“羊毛党口口相传能够有效进一步传播拼多多的品牌,薅羊毛的说辞也符合拼多多的品牌定位。”

网民狂欢 
呼朋引伴 半夜抢券

拼多多出现超级大漏洞,部分职业“羊毛党”发现这点后,开始呼朋引伴,叫上身边的朋友,一起去重复领取。有网友表示,凌晨3点多被“喊醒”,一起去拼多多抢优惠券,“只需支付4毛钱,就可以充值100元电话费”。有网友一个晚上,充值话费百余次,每次为100元,花费0.4元。也有网友利用这项漏洞,给自己储备十几年的电话费。

以用户联合薅商家羊毛模式起家的拼多多,这次成了被薅羊毛的目标。据澎湃新闻报道,仅仅半天时间,这一漏洞就经过层层转发,很多“吃瓜民众”在睡梦中醒来也获得了链接,免费或者以几毛钱领到100元话费充值优惠券,并成功充值。

根据网友晒出的截图,此次拼多多的100元无门槛券为“全场通用(特殊商品除外)”,有效期为一年。有网友称,这一优惠券可以“重复领取”,并且充值了上万话费。得知消息后,很多人也准备赶紧“薅羊毛”,但他们来晚一步,10点之后领取优惠券的方式失效了。

家住上海的王先生20日说,上午10点不到,他收到别人转发给他的二维码,通过该二维码可以直接进入拼多多的优惠券页面,直接领100元无门槛券。随后他只付了4毛钱,成功充值了100元话费。

家住河北的雷先生也领到了“福利”,他在上午8时许顺利用15元加上优惠券购买的原价115元的某品牌坚果大礼包,还花了4.76元充值了价值108元的108个Q币(用于腾讯增值服务的虚拟币)。

不过,在傍晚的时候,雷先生坚果大礼包的订单被拼多多强制申请退款。最终,没有等到坚果大礼包,只收到15元的退款。雷先生联系坚果商家方面得到的回馈是:“这是平台处理的,我们没有许可权。”雷先生之前充的108个Q币,虽然已经显示到账,但在消费时,腾讯显示“您的帐户异常”,“我准备花15个Q币的时候,一个都花不出去,现在帐户被冻结了。”雷先生认为,“拼多多赚了,坑的是店家和消费者。”

漏洞背后原因 众说纷纭

拼多多平台现巨大Bug,拼多多官方回复,此次事件是因为黑产利用了规则漏洞盗取了优惠券,而具体原因尚未得知。关于背后原因的传言也众说纷纭,这一损失究竟是人为操作失误造成还是技术漏洞的影响呢?

有零售业技术提供商认为,这次事件的原因可能是程式开发问题,在开发时限制条件写错了,或者这个优惠券是测试资料,没有及时删除,“系统应该会对无门槛券进行设置,领券的对象会有针对性的限制条件,而不是平台每个帐号都能领,这个限制条件应该是存在漏洞。”

另一位电商平台的技术负责人判断,现在黑产都是用程式自动监控各网站的优惠券,所以优惠券放出来后立刻就被发现了,“我觉得不能算程式bug,应该是人为操作失误,同时也暴露了拼多多内部的流程不完善,审核有问题,无门槛券风险极大,很多平台都需要多级审批。一旦触发相关预警机制,系统会自动给几十个相关负责人发短信通知。”

知道创宇反资讯诈骗专家潘少华则表示,过去,虽然其他平台也有出现过类似的bug,但像拼多多这种百元额度的大优惠券漏洞还是很少会发生,因为平台上这类大额优惠券都是需要层层审批的,一方面运营很少会配置这么大额度的优惠券,另一方面大多数平台也都会有异常预警与差错处理。介面新闻称,这次如果拼多多无法向警方证明这次Bug不是平台自己的失误而是黑产恶意的攻击,除了那些有组织作案的使用了大量新注册帐号的黑灰产薅来的羊毛可以通过法院的帮助讨回,其他的损失,拼多多或许也只能认了。