拼多多漏洞事件:“羊毛党”钻空子的背后是什么?

2023-03-04 21:30发布

今天凌晨,拼多多被曝出现重大漏洞,用户可领100元无门槛券。有网友表示“有大批用户开始‘薅羊毛’,一晚上200多亿都是话费充值”。对此,拼多多官方回应表示,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利,目前平台已修复漏洞,并已向公安机关报案。


昨天凌晨,拼多多平台上出现了一款无门槛的100元优惠券,网站每位注册用户可以领取一份,并适用于网上任何商品,且可以通过新账号的方式无限制领券。很快这一存在漏洞的规则被专职“羊毛党”发现后,一夜之间领走了大量优惠券,随后又将此漏洞在网上扩散,引发大批用户开启了“薅羊毛”模式。上海信息安全行业协会副主任张威说,羊毛党大都是采取群控软件加改码软件的手段,不断将原有设备伪造成新的设备:


“黑灰产会在电脑上模拟手机的虚拟机,注册完以后把这个虚拟机抹掉,重新再注册一批,这样可以注册很多账号,然后利用每个账号写个程序,自动获取平台的优惠券从而套利。他们会分条线,因为不同平台的技术要领和业务流程都是不太一样的,这个羊毛党可能就针对淘宝、京东、拼多多这三个平台薅,换到P2P或者航空公司,就由别的羊毛党来薅了。”


随后网上很快出现了不少优惠券成功充值了几万元话费或是Q币的订单截图,并盛传此次漏洞“薅”走了拼多多200多亿。对此拼多多辟谣称,实际最终资损或低于千万元人民币。虽然对于最终的损失数字目前还不得而知,但是此事却暴露了拼多多平台风控技术存在的弱势,张威说,一般情况下,优惠券都会设立领取门槛,结合登陆IP、账号等,以此来避免羊毛党利用虚拟设备批量捡便宜:


“拼多多应该有义务识别出注册的假账号,理论上大平台不应该出现这种被机器刷的情况,你基本上听不到京东、淘宝被这样薅羊毛。”


拼多多财报数据显示,2018第三季度拼多多用于销售、推广的费用约32亿元,而用于研发的费用约3亿元,二者投入比例差距悬殊。此外,一些电商平台在早期发展时一味追求用户数量而非质量,也是“羊毛党”能钻空子的原因之一:


张威:“一开始很多平台注册用户可能没有那么多,很多是水军通过人工智能的方式注册,对于平台来说早期的时候看到注册量上去,我还能和投资人炫耀我的注册量,所以早期羊毛党和平台会有共生关系,但是到了平台成熟的时候,讲究用户质量的时候,就会变成平台的敌对方了。 ”


今天上午9点,拼多多已将100元无门槛优惠券的领取方式全部下架,而之前领到未使用的优惠券也全部下架失效,对此一些通过正常渠道领到优惠券的普通用户表示不满,因为此前也有电商平台出现过类似情况,但不少都是平台方自掏腰包买单。目前,拼多多尚未提及将如何善后被领走或使用的优惠券。京衡律师集团上海事务所闫澈律师认为,平台方应对普通用户和黑产羊毛党的处置方式做出区分:


闫澈:“如果说身份是真实的,号码都是真实的,它只是重复的刷单,那么诈骗罪的虚构事实是不能成立的。但是如果说它用一些软件一些技术手段,创制了一些虚拟的号,那么就是典型的虚构事实的行为。”


编辑:沈颖婕


责任编辑:杨叶超