今天凌晨，拼多多被曝出现重大漏洞，用户可领100元无门槛券。有网友表示“有大批用户开始‘薅羊毛’，一晚上200多亿都是话费充值”。对此，拼多多官方回应表示，有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券，进行不正当牟利，目前平台已修复漏洞，并已向公安机关报案。

昨天凌晨，拼多多平台上出现了一款无门槛的100元优惠券，网站每位注册用户可以领取一份，并适用于网上任何商品，且可以通过新账号的方式无限制领券。很快这一存在漏洞的规则被专职“羊毛党”发现后，一夜之间领走了大量优惠券，随后又将此漏洞在网上扩散，引发大批用户开启了“薅羊毛”模式。上海信息安全行业协会副主任张威说，羊毛党大都是采取群控软件加改码软件的手段，不断将原有设备伪造成新的设备：

“黑灰产会在电脑上模拟手机的虚拟机，注册完以后把这个虚拟机抹掉，重新再注册一批，这样可以注册很多账号，然后利用每个账号写个程序，自动获取平台的优惠券从而套利。他们会分条线，因为不同平台的技术要领和业务流程都是不太一样的，这个羊毛党可能就针对淘宝、京东、拼多多这三个平台薅，换到P2P或者航空公司，就由别的羊毛党来薅了。”

随后网上很快出现了不少优惠券成功充值了几万元话费或是Q币的订单截图，并盛传此次漏洞“薅”走了拼多多200多亿。对此拼多多辟谣称，实际最终资损或低于千万元人民币。虽然对于最终的损失数字目前还不得而知，但是此事却暴露了拼多多平台风控技术存在的弱势，张威说，一般情况下，优惠券都会设立领取门槛，结合登陆IP、账号等，以此来避免羊毛党利用虚拟设备批量捡便宜：

“拼多多应该有义务识别出注册的假账号，理论上大平台不应该出现这种被机器刷的情况，你基本上听不到京东、淘宝被这样薅羊毛。”

拼多多财报数据显示，2018第三季度拼多多用于销售、推广的费用约32亿元，而用于研发的费用约3亿元，二者投入比例差距悬殊。此外，一些电商平台在早期发展时一味追求用户数量而非质量，也是“羊毛党”能钻空子的原因之一：

张威：“一开始很多平台注册用户可能没有那么多，很多是水军通过人工智能的方式注册，对于平台来说早期的时候看到注册量上去，我还能和投资人炫耀我的注册量，所以早期羊毛党和平台会有共生关系，但是到了平台成熟的时候，讲究用户质量的时候，就会变成平台的敌对方了。 ”

今天上午9点，拼多多已将100元无门槛优惠券的领取方式全部下架，而之前领到未使用的优惠券也全部下架失效，对此一些通过正常渠道领到优惠券的普通用户表示不满，因为此前也有电商平台出现过类似情况，但不少都是平台方自掏腰包买单。目前，拼多多尚未提及将如何善后被领走或使用的优惠券。京衡律师集团上海事务所闫澈律师认为，平台方应对普通用户和黑产羊毛党的处置方式做出区分：

闫澈：“如果说身份是真实的，号码都是真实的，它只是重复的刷单，那么诈骗罪的虚构事实是不能成立的。但是如果说它用一些软件一些技术手段，创制了一些虚拟的号，那么就是典型的虚构事实的行为。”

编辑：沈颖婕

责任编辑：杨叶超