除了损失数千万,拼多多漏洞还有诸多谜团
作为体量仅次于阿里及京东的国内第三大电商巨头,美股上市公司拼多多理应具备相应成熟的安全预案,而本次优惠券BUG事件则至少反映出该平台仍存在风控短板。眼下系统虽已修复,但与之相关的多个问题仍悬而未解。
疑似黑产军团已杀向拼多多。
1月20日上午,大量网友在 社交 平台发布消息称,从当日凌晨开始,拼多多平台上出现重大BUG,用户可以直接领取100元无门槛优惠券。这一BUG被“羊毛党”发现后迅速在网络传播,直至当日上午10点左右,系统才被官方修复,相关优惠券被全部下架。
一时间,各种传言开始在网络上散布,比如拼多多一夜损失200亿元,用户“薅羊毛”充话费或Q币被拼多多客服威胁起诉等,后来都被证实为谣言。
拼多多官方表示,有黑灰产团伙通过一个过期的优惠券漏洞,盗取数千万元平台优惠券,进行不正当牟利,平台已第一时间修复漏洞,并对涉事订单进行溯源追踪,同时已向公安机关报案。
官方声明无法阻挡网友议论的热情,当日拼多多相关话题多次登上新浪微博和百度的热搜榜。不断有网友在社交平台上晒出成千上万元的话费和Q币充值记录,部分用户为应对潜在的拼多多追责风险,声称已将Q币消费,转换为 游戏 道具交易出手。
在这场“羊毛党”和疑似黑产势力的狂欢中,有很多令人好奇的地方。包括漏洞到底何时被发现,中间漫长的业务链条中哪个环节出了问题,拼多多又做了怎样的处理,受影响的商户有多少等等。
对于上述问题,截至本文发稿,仍无明确说法。拼多多在回复《中国企业家》记者问询时回应称,警方调查期间,暂时不方便披露案件相关细节,后续有最新进展会第一时间跟大家同步。
有别于以往的三大特点
从目前公开信息看,本次拼多多优惠券有几个问题较为特殊。
首先,卡券的领取数量没有上限。
无门槛优惠券,与常见的“满减”优惠券不同。后者能借助少量补贴拉动大量用户消费,有助于电商平台完成GMV等主要经营数据;而前者不需要用户进行任何额外消费,几乎等同于给用户“送钱”。
所以通常全场通用的无门槛优惠券都会进行领取限制,比如针对同一账号、 手机 号和设备ID等进行购买数量限制。在现有的拼多多其他优惠券中,也标注着“如有发现恶意刷券等违规行为,平台有权在法律范围内进行相应处理”等字样。
但拼多多似乎并未设置本次优惠券的领取上限,加上该优惠券不是传统的“抢购”设置,而是随意领取,这也直接导致拼多多官方口径中的“数千万元”资损产生。
其次,无门槛优惠券能兑换虚拟商品。
电商平台从业者刘昕(化名)告诉《中国企业家》,一般来说,无门槛优惠券不能兑换虚拟产品(包括话费、Q币、游戏点卡等)以及金银等贵金属 投资 品。从各大平台实际情况看,全场通用的优惠券通常会标注“虚拟商品除外”字样。
虚拟商品交易是网络黑产的惯用洗钱手法,所以被各大电商平台所重视,在优惠券使用范围上进行严格限制。同时,禁止兑换虚拟商品,也便于追踪黑产身份,毕竟实物商品需要邮寄地址。
本次事件里,拼多多优惠券却可以无障碍兑换前述虚拟商品。在采访过程中,诸多从业者对此表示惊讶。
最后,无门槛优惠券金额为何如此大。
与普通满减优惠券不同,无门槛优惠券的金额通常都不大,尤其是能兑换虚拟商品的优惠券,额度在个位数的较多。在京东和淘宝等平台,话费优惠券一般不超过5元。
而本次拼多多的优惠券面额为100元,这类大额无门槛优惠券并不属于常见类型。尤其是考虑到其不设上限的领取数量,它在设计、测试、上线、风控等多个流程中,应该都有严格的安全保护措施,以及错误预警和处理方案。
对于拼多多这样一家体量仅次于阿里和京东的电商巨头来说,这次优惠券事件对它的技术和安全口碑无疑会产生影响。
“薅了羊毛”的用户怎么办
另外一个被广泛关心的问题是,那些“薅羊毛”的普通用户,拼多多该如何处理。目前平台方未就此作进一步说明。
与涉嫌违法犯罪的网络黑产不同,“薅羊毛”行为在 互联网 用户间较为常见。此前其他公司也遇到过类似漏洞,一般在确认系平台工作失误并且损失不大的情况下,会选择自我承担损失。
2017年12月31日,腾讯视频曾被曝出系统BUG,用户仅需支付0.2元就能获得价值20元的视频会员,并且同一账户可以多次购买。该漏洞出现后半小时,腾讯便发现并将其关闭,但即便如此,仍有39万名用户参与,生成订单287万笔,简单计算可知腾讯视频因此损失超过5600万元会员费。
2018年1月5日,在最终调查结束后,腾讯视频宣布该问题由其工作失误所致,用户购买的异常订单,腾讯将全部兑现,并不再扣费。
不过,自2019年1月1日起正式施行的《电子商务法》第四十九条有如下规定:
电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择该商品或者服务并提交订单成功,合同成立。当事人另有约定的,从其约定。
电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立;格式条款等含有该内容的,其内容无效。
查阅拼多多《拼多多服务协议》可知,在“用户守则”之下,包含有“禁止使用拼多多平台外挂和/或利用拼多多平台当中的BUG来获得不正当的利益”的约定内容。
上海大邦律师事务所高级合伙人游云庭告诉《中国企业家》,从目前披露的信息来看,这是一起民事案件,而不是刑事案件,它属于平台自己产品设计的问题,而不是黑客攻击导致,如果拼多多需要维权,这次事件法律上可能构成“重大误解”。
根据《民法通则》,重大误解,指的是一方当事人因自己的过错导致对合同的内容等发生误解而订立了合同。重大误解行为,在法律上属于可撤销行为,但一般行使撤销权需要通过法院进行。
实际上,法院为了保护交易安全,在“重大误解”的案件判决上非常谨慎,如果只是一两百元的小额事件不会轻易判决。
游云庭认为,如果用户没有使用优惠券,拼多多禁止其使用并无问题,但如果用户已经将优惠券消费掉,拼多多、中国移动、腾讯等公司不应该在法院没有判决前直接冻结相关交易。
网络黑产阴魂不散?
事件远未终结。
作为一家美股上市公司,拼多多需要在本季度财报中披露这次漏洞事件所带来的实际损失数据。优惠券如果用于平台自营商品,需要在财报中计算为销售成本,优惠券用户第三方商户,则计算为 营销 成本。
财报显示,2018年第三季度,拼多多营收为33.72亿元,归属于普通股股东的净亏损为10.98亿元。从这个数据来看,若本次事件中最终损失数千万元,对拼多多来说影响不小。
与此前腾讯视频和东航等公司的BUG事件不同,本次拼多多对外表示有网络黑产势力牵扯进入。
利用公司业务漏洞而进行违规操作,在网络黑产行为中所占的比例并不小。
腾讯安全向《中国企业家》出示的数据显示,截至2018年年底,腾讯综合安全服务平台受理的用户有效举报超过1247万次,受理举报打击最多的类型为诈骗,其次是黄赌毒,第三就是违规使用腾讯业务,占比为8%,按数字计算接近百万级。
对于 P2P 和电商等行业而言,与网络黑产的斗争是一项长期而复杂的工程,各家公司尤其是巨头都非常重视,有一套相对完整的应对流程,拼多多也理应有充足准备。
本次事件中暴露出的诸多谜团,有待拼多多披露更多新消息来揭开。
【来源:《中国企业家》 作者: 崔鹏】