以上音頻技術來自:訊飛有聲
1月20日,拼多多被曝遭黑灰產團夥利用規則漏洞「薅」走數千萬元,拼多多方面回復稱,Bug優惠券系定製,同時也曝光了「遭黑灰產批量盜取」的操作手法。
被薅走200億?事情是何原委?詳情見券商中國推出「拼多多被曝出現大Bug,4毛錢能充100元話費,一晚被灰黑產團夥薅走200億?前三季度營收才75億」報導(點擊藍字,閱讀原文)。
最新消息顯示,拼多多已迅速向公安機關報案。目前公安機關正在調查過程中,因涉案金額巨大,預計將會對涉嫌套券詐騙、牟取巨額不當利益的涉事黑灰產團夥追究刑事責任。
針對該事件,目前上海警方已以「網絡詐騙」的罪名立案並成立專案組,並依據「財產保全」的相關規定,對涉事訂單進行批量凍結。拼多多方面稱,本次事件不涉及任何數據安全問題,平臺消費者原本正常領取的優惠券使用不會受到影響。
手法曝光!拼多多:黑灰產團夥批量盜取
1月20日凌晨,拼多多被曝一起Bug,有用戶稱購花4毛錢可購買100元無門檻話費充值券;有用戶稱,不少人獲悉消息後集中購買了話費、Q幣等虛擬商品以及油卡,或是以五折或者更低的價格進行購買。
剛剛拼多多解釋該券系定製優惠券。拼多多官方人士稱,「此次被盜取的優惠券系此前與非誠勿擾開展合作時的定製優惠券,僅供節目錄製現場嘉賓使用;與此前某航空公司低價機票事件、某電商平臺話費積分等事件具有根本性質差異。」
拼多多將其定義為遭「黑灰產批量盜取」並曝光了詳細的操作手法:
該事件中的相關優惠券,均系黑灰產團夥通過非正常途徑生成的二維碼掃碼後獲得,該二維碼多流傳於社交平臺相關黑灰產群。拼多多從未在APP及小程序中展示過此類優惠券相關信息及二維碼。該二維碼具體的生成及傳播過程,正待警方調查後獲得最終結論。
在拼多多的Bug券事件中,有網傳截圖顯示,有網友還通過重複註冊帳號的形式,多次反覆領取了拼多多的百元優惠券,有網友在1月20日當天充值了5萬多元的Q幣和3萬多元的話費。
拼多多官方人士介紹,「通過該非正常途徑生成的二維碼,原本每個認證信息的用戶可且僅可領取一張無門檻100元優惠券,而非此前網絡流傳的單個ID可以『無限領取』。因此,有黑灰產團夥通過『養貓池』(用手機卡蓄養大量虛擬帳號)等不法手段,實現N張手機黑卡同時作業,批量盜取該種優惠券,並通過手機話費、Q幣等虛擬充值的方式,試圖在短時間內迅速轉移此類不當所得,涉案優惠券總金額達數千萬元。」
拼多多Bug漏洞事件出現後,有網際網路安全技術人士進行剖析並得出「反欺詐體系不足,營銷活動上線協調缺失,監控預警失效」等猜測。
在最新的回覆中,拼多多官方進行了解釋:事件發生時正值拼多多「年貨節」大促,期間有大批量平臺正常發放的優惠券被消耗。至20日上午9點,遭盜取優惠券和正常優惠券的總和突破平臺預設閾值,系統監控到異常並自動報警後,拼多多在第一時間修復了相關漏洞。
拼多多官方人士稱,為進一步加強「特殊優惠券」相關風控體系,拼多多已成立技術專組。
上海警方已成立專案組,對涉事訂單批量凍結
「到底是Bug還是促銷做到一半反悔?」廣強律所非法集資犯罪辯護與研究中心執業律師曾傑此前向券商中國記者分析,如果用戶是通過正常的購買支付手段使用的優惠券,從合同法到電商法的立法主旨來看,已經完成支付併到貨的用戶,不能追償;已經支付尚未到貨的用戶,拼多多不能取消;已經領券尚未消費的用戶,拼多多需要舉證說明是自己的活動設計失誤,對相關用戶花費時間精力領券作出補償。
拼多多風控團隊負責人表示,黑灰產團夥在盜取金額巨大的優惠券並轉移其不當所得後,期望達成「法不責眾」的效果,迅速通過網絡和社交群將二維碼分享出去,誘導一些普通消費者跟風掃碼,並在社交平臺和群內編造「拼多多平臺發券損失200億等謠言」,以希望達到逃避刑責、混淆視聽的結果。
拼多多的官方回復裡透露了對Bug券的處理進展和細節:
事件發生後,拼多多迅速向公安機關報案。目前公安機關正在調查過程中,因涉案金額巨大,預計將會對涉嫌套券詐騙、牟取巨額不當利益的涉事黑灰產團夥追究刑事責任。
針對該事件,目前上海警方已以「網絡詐騙」的罪名立案並成立專案組,並依據「財產保全」的相關規定,對涉事訂單進行批量凍結。拼多多平臺正配合警方,對涉事訂單進行溯源追蹤,並最終依據警方的調查結果對相關訂單做出依法依規處理。
拼多多方面稱,本次事件不涉及任何數據安全問題,平臺消費者原本正常領取的優惠券使用不會受到影響。
同時,「拼多多平臺期間及後續的正常訂單,均不會受此事件影響。為充分保障正常參與平臺各項活動的消費者的利益,在『年貨節『和『春節不打烊『活動期間,拼多多將追加一億元年貨紅包津貼,向平臺消費者進行發放。」