1月20日,星期天,伴随着职业薅羊毛党的狂欢,拼多多面临上千万元资产的损失。


一个过期的优惠券漏洞,可能引发出国内资产损失规模最大的黑灰产事件。


1月20日凌晨,有网友称拼多多存在重大BUG,“只需支付4毛钱,就可以充值100元话费”“有大批用户开始媷羊毛,一晚上200多亿都是话费充值”。根据网友晒出的截图,此次拼多多的100元无门槛券全场通用(特殊商品除外),有效期为一年。


对此,拼多多方面向记者表示,当日凌晨有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,拼多多已第一时间修复漏洞,并正对涉事订单进行溯源追踪。“同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。”


对于高达200亿的损失,拼多多相关负责人回应称这一数字不实,“最终还能追回不少,实际资产损失大概率低于千万元。”


对于具体是什么漏洞导致黑灰产团伙盗取优惠券,以及如何追讨资产损失,拼多多方面向记者表示,由于公司正配合警方调查,具体案情暂时无法对外披露,有进一步消息将第一时间对外公布。



拼多多出现重大Bug,引发职业羊毛党狂欢


1月20日凌晨1时左右,拼多多出现100元无门槛券的Bug,而且用户还可以重复领取,部分职业羊毛党发现Bug后迅速行动,开始呼吁周围的朋友一起领取。其后获得足够收益后,这批羊毛党抱着“法不责众”的态度在某论坛上公布这个Bug,引发非羊毛党用户参与。有接近拼多多方面的人士向记者透露,参与此次漏洞的普通用户并不多,资产损失大部分来自黑灰产团队。


值得注意的是,职业羊毛党看中充话费和Q币是自动发货,因此他们将优惠券迅速兑现,并将话费、Q币兑换成现金。对于拼多多而言,能否向三大运营商以及腾讯追讨这一次损失成疑。


新京报记者发现,在《拼多多服务协议》7.1禁止行为中,用户使用拼多多平台外挂和/或利用拼多多平台当中的Bug来获得不正当的利益赫然在列。但另一方面,拼多多发言人称其系统不存在安全漏洞,此黑灰产是利用“规则漏洞”薅走优惠券的,至于“规则漏洞”属不属于“平台Bug”,新京报记者向拼多多方面求证,但截至发稿尚未得到回复。


电子商务研究中心主任曹磊指出,此次拼多多出现这个漏洞,有两种可能,一种可能是平台出现业务策略漏洞,另一种可能是遭到有预谋的黑灰产组织操作。



后续:向受影响用户发放5元优惠券,禁止部分商家发货


由于出现Bug被用户“褥羊毛”的现象,在国内互联网行业中时有发生。


2018年元旦期间,腾讯视频发起优惠充值活动,但因为活动服务器后台数据出现异常,有部分用户在充值一个月时出现应该支付优惠价18元实际仅被扣费0.2元的状况。当时这一漏洞共引来39万用户参与。


其后腾讯发布公告称,这是公司的工作失误,公司将这些异常订单全部兑现,且不再扣费。最终,腾讯为这个Bug付出超过5000万元的代价,但同时赢得网友的好评。


拼多多在发现漏洞后,于当日早上9时左右紧急将所有优惠券的领取方式下架,同时还取消了用户已领取但未使用的优惠券,记者留意到,当时拼多多还对App进行了优化更新。为了补偿用户,拼多多向受影响用户发放5元无门槛优惠券,有效期为50年。


对于拼多多紧急下架优惠券的行为,曹磊认为,从法律责任认定和用户权益保护角度出发,如果是平台主动推出的活动,那么应按照官方说明来兑现承诺,也就相当于在线跟用户签订协议,平台当然要执行。“但拼多多相关声明已经显示,用户是通过一个过期的优惠券漏洞盗取了优惠券。根据《合同法》相关规定,拼多多取消或收回优惠券是不需要承担法律责任的,从情感上也能够理解。”


他表示,如果此次拼多多出现优惠券漏洞是黑产羊毛党恶意行为,这类交易属于存在“重大误解”订立的合同,“(拼多多)是可以要求撤销的。”


北京康达律师事务所律师韩骁亦认为,拼多多回收已经领取但还没有使用的优惠券,这一做法并不会和刚出台的《电商法》相冲突。


根据《电商法》第三十条规定,电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行,防范网络违法犯罪活动,有效应对网络安全事件,保障电子商务交易安全。电子商务平台经营者应当制定网络安全事件应急预案,发生网络安全事件时,应当立即启动应急预案,采取相应的补救措施,并向有关主管部门报告。


韩骁表示,在此次事件中,拼多多采用回收已领取但未使用的优惠券这一方式来应对,属于合理的补救措施,“可以说是有效应对了该网络安全事件,并不违反《电商法》的规定。”


另据记者了解到,当日早上11时左右,拼多多的工作人员已经向部分商家发出通知,凡是已使用100元无门槛券的订单不允许发货。


根据《电商法》第四十九条规定,电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择该商品或者服务并提交订单成功,合同成立。当事人另有约定的,从其约定。电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立;格式条款等含有该内容的,其内容无效。


曹磊向记者表示,拼多多这一做法与《电商法》不冲突,这种情况不适用电商法四十九条第2款的规定。“恶意利用系统漏洞获取的优惠券,不能有效地折抵付款中的相应付款义务,所以应该视为未完成付款义务,不受电商法第第四十九条第2款的约束,商家可以不发货。”


而中国政法大学知识产权中心特约研究员赵占领则告诉记者,如果用户已经使用优惠券购买拼多多上第三方商家的商品,用户和商家之间的合同已经成立,拼多多可以去追究用户的责任,但不能阻止商家发货。




专家:拼多多“最基本防薅羊毛手段未设置” 拼多多紧急招聘风控总监


对于拼多多被“褥羊毛”一事,新京报记者采访某反诈骗安全团队专家陈锋(化名)。他表示,有许多手段可以防止平台被恶意“薅羊毛”,包括限制优惠券的总数以及优惠券的应用场景,“比如设置最多10万张券,只能用于满200元的实物订单,再加上最基础的防薅羊毛策略,就能保证不出大问题”。


但根据网友截图,此次事件中拼多多的优惠券属于“无门槛全场通用”,还有网友晒出了充值话费、购买Q币的截图,有的充值金额甚至高达5万元。“在此事件中,拼多多的业务规则出现了问题,最基本的防薅羊毛手段都没有设置。”陈锋称。


新京报记者注意到,拼多多已于当日下午在招聘平台发布多个与风控相关的职位招聘,包括风控总监、风控策略/模型专家等。


律师:薅羊毛党可能涉嫌盗窃罪 但最终要看司法机关定性


在陈锋看来,目前确实存在专业的“羊毛党”,针对不同平台,这些羊毛党拥有注册账号(涉及手机号、接码平台等)、下游支付渠道、清洗转移渠道等,而消息灵通与否以及设备的专业程度则决定了这些羊毛党的收入。


“目前很难有真正预防羊毛党的手段,因为一般来讲,羊毛党带给企业的损失比较小,所以大部分企业不会采用强策略来预防羊毛党。此外,在一些情况下,羊毛党也可以帮助企业进行引流,例如羊毛党通过注册来薅羊毛的行为也帮助企业提升了注册用户的数量,所以有的时候甚至有初创公司故意利用羊毛党来增加注册用户数,反正烧的是投资人的钱。所以羊毛党与企业的关系是很复杂的,不止涉及到带来损失这一点。”陈锋说。


至于薅羊毛黑产是否涉嫌违法犯罪,陈锋表示比较难以判断,“一般而言首先必须有公司报案,而此前的实际案例中,最多的情况可能会协商,协商不成按诈骗来办,但最终是否违法或者犯罪还要看司法机关的定性。”


北京康达律师事务所律师韩骁向记者表示,用户利用系统漏洞大量领取平台的优惠券并以此获利,可能涉嫌盗窃罪,若获利数额达到相关标准,则有可能需要承担刑事责任。不过他强调,如果是平台的普通客户,并非有意识地通过这一安全漏洞大量领取优惠券牟利,而仅领取了数量较少的优惠券,没有盗窃的主观故意,客观上获利也未达到量刑标准,则并不构成盗窃罪。


财报分析:收入激增营销费用大涨 研发费用仅为营销费用1/10


凭借着社交电商全新打法,成立仅三年时间的拼多多已经是国内最成功的独角兽企业之一。投行摩根士丹利近日发布研报,首次把拼多多纳入研究范围,给予“增持”评级,并把目标股价定位29美元。


拼多多的财报显示,去年第三季度,拼多多实现营收33.72亿元,较去年同期增长697%,环比增长24%;去年前三季度共实现74.66亿元营收,较去年同期增长约12倍。


但并不乐观的是,拼多多净亏损进一步扩大,去年第三季度亏损10.98亿元,远高于前年同期的2.21亿元;去年前三季度共亏损77.93亿元,前年同期为5.39亿元。


虽然已经成长为仅次于淘宝、京东之后的第三大电商平台,但拼多多仍继续投入大量的资金拉新,通过冠名综艺节目等方式继续拉动用户增长率和活跃度。财报显示,去年第三季度拼多多的销售及营销费用高达32.3亿元,同比增长655%,主要原因是由于品牌推广活动及线上线下广告及促销活动增加所致。


拼多多狠砸营销费用的另一个重要原因是获客成本在走高。2017年三季度,拼多多单个新用户的获客成本仅13元,但去年上半年已经飙升至55元。


此外,财报显示,当季,拼多多投入的研发费用增加至3.32亿元,较去年同期增长828%,较Q2环比增长80%,平台研发投入占比攀升至9.8%。


值得一提的是,尽管拼多多在去年第三季度投入的研发费用同比增长828%,但其研发费用仅为销售和营销费用的1/10。


新京报记者注意到,拼多多已于1月20日下午在招聘平台发布多个与风控相关的职位招聘,包括风控总监、风控策略/模型专家等。


经过此次事件后,拼多多的研发费用或许将保持高增速。


相关:因出售抢拍软件,两名黑灰产从业员被提起公诉


拼多多此事只是我国互联网黑灰产市场的冰山一角。根据阿里与南都大数据研究院联合发布的《2018网络黑灰产治理研究报告》显示,2017年国内网络安全产业规模为450多亿元,黑灰产却高达近千亿元规模,而且后者的发展更为迅速。


近日记者从中国裁判文书网获悉,2018年有两名黑灰产从业员被河南省郑州市金水区人民检察院提起公诉。


判决书显示,杜某、朱某通过销售“联合抢拍器”,非法获利共计人民币405215元。


根据淘宝安全部门负责黑灰产技术攻防情报工作的吴某陈述,被害单位淘宝网经常会开展限时、限量销售商品的抢购活动,用户可以比平时更加优惠的价格买到一些商品。但杜某、朱某销售的抢拍软件能够自动代替用户定时、大批量下单,而且该软件还通过破解淘宝软件,实现与淘宝服务器的精准对时,从而提高抢拍的效率。


法院认为,杜某、朱某提供专门用于侵入、非法控制计算机信息系统的程序、工具,情节特别严重,其行为均已构成提供侵入、非法控制计算机信息系统程序、工具罪;公诉机关指控杜某、朱某犯提供侵入、非法控制计算机信息系统程序、工具罪罪名成立。


最终,杜某和因犯提供侵入、非法控制计算机信息系统程序、工具罪,被法院判处有期徒刑3年6个月,并处罚金两万元;朱某因犯提供侵入、非法控制计算机信息系统程序、工具罪,被法院判处有期徒刑两年,并处罚金一万元;二人的违法所得依法予以追缴。


新京报记者 陆一夫 罗亦丹 编辑 刘晓阳 王进雨 校对 柳宝庆