拼多多曝優惠券大BUG,拿什麼對抗“羊毛黨”?

Editor發表於2019-01-21


拼多多曝優惠券大BUG,拿什麼對抗“羊毛黨”?


1月20日,電商平臺拼多多遇到重大BUG,該漏洞導致使用者可以通過微信、網頁端、QQ等渠道,領取100元無門檻券全場通用(特殊商品除外),有效期一年,更換新賬號可無限制領取。使用該優惠券後,充值百元話費可實現用0.46元充值100元話費。


拼多多曝優惠券大BUG,拿什麼對抗“羊毛黨”?


專職羊毛黨發現了這個大Bug,半夜打電話喊人薅羊毛!有的羊毛黨已經領了上千張100元無門檻券,但是怕被抓進去,抱著法不責眾的心態,把領券方式公佈於眾,大批使用者開啟了薅羊毛節奏。


這場羊毛黨和網友們的“全民狂歡“從1月20日凌晨持續到20日上午9點左右,長達9個小時的”狂歡“後,拼多多官微對此發出了宣告。


拼多多曝優惠券大BUG,拿什麼對抗“羊毛黨”?


有關於漏洞是如何產生,以及對已經發放的券會如何處理等事宜,拼多多方面表示,因為此事已有公安已經介入調查,所以暫時無更多內容可透露。


有訊息稱此次“狂歡”後,一晚上交易額達到200多億元,但拼多多發言人表示,實際最終資損或低於千萬元。 


有法律人士稱,在“合理自用”範圍內,普通使用者使用拼多多的這一BUG優惠券,法律上應該會認定為拼多多的促銷。但對於重複註冊賬號、使用網路漏洞等方式來使用這一優惠券的,如果證據確實,恐會涉及不當得利乃至非法侵入計算機系統等刑事犯罪。



什麼是薅羊毛?


拼多多曝優惠券大BUG,拿什麼對抗“羊毛黨”?

薅(hāo)羊毛,以80、90後為代表的新興都市族們對銀行等金融機構及各類商家開展的一些優惠活動產生了濃厚興趣,並專門出現了這樣一批人,蒐集各個銀行等金融機構及各類商家的優惠資訊,在網路和朋友圈子中廣為傳播,這種行為被稱作薅(hāo)羊毛。


目前“薅羊毛”的定義越來越廣泛,已經跨出了金融行業的界定,滲透到各個領域,滴滴叫車等叫車和拼車軟體送代金券,美團外賣,餓了麼點餐減免活動,百度錢包,免費送話費充流量等諸多活動,都可以稱為薅羊毛。


近年來,網際網路電商創業公司大量湧現,從滴滴到OFO,身在其中的我們不難感受到來自“燒錢“的誘惑力,商家們通過各種補貼來虜獲使用者的芳心,培養使用者的小費習慣。而羊毛黨就是在這樣的環境下“催生”了出來。


拼多多曝優惠券大BUG,拿什麼對抗“羊毛黨”?


羊毛黨,是關注與熱衷於“薅羊毛”的群體,是指那些專門選擇網際網路公司的營銷活動,以低成本甚至零成本換取高額獎勵的人。


羊毛黨一般先利用自動機註冊大量的目標網站的賬號,當目標網站搞促銷、優惠等活動的時候,利用這些賬號參與活動刷取較多的優惠,最後通過淘寶等電商平臺轉賣獲益。


拼多多曝優惠券大BUG,拿什麼對抗“羊毛黨”?

羊毛黨的內部分工


他們的存在嚴重破壞了商家活動的目的,不僅侵佔了活動資源,還讓正常使用者享受不到活動的優惠和意義。


在2018年4月底,小米旗下的米家有品商城出現了價格BUG,原價599元的商品只需要0.01元就可購買,訊息傳開後引發網友第一時間瘋狂搶購。據悉,有網友一次下單了20臺,僅用了0.2元。最終,米家有品官方釋出瞭解決方案:原有價格無法發貨,將取消訂單,並贈送優惠券。


在2018年11月中旬,又有網友投訴稱,在雙11期間用夢潔天貓旗艦店發放的滿減優惠劵消費後,商家遲遲不發貨。夢潔售後則解釋稱“優惠券是系統錯誤所致”。



專家點評


有安全專家指出,一般情況下,優惠券會設立領取門檻,結合登陸IP、賬號等,以此來避免羊毛黨利用虛擬裝置批量“薄羊毛”。而拼多多事件並未涉及虛擬裝置,大量使用者都是使用常規裝置領取並完成交易,直接原因可能是平臺的風控體系欠缺且能力不足所致。


紅客十年(周濤):

拼多多這次被薅羊毛事件,具體不清楚是因為什麼問題引發的無門檻優惠券上線,但從當前問題來看,拼多多在安全和風控上的能力不足,整個系統上線流程都有問題。



看雪論壇『WEB安全』版主 piaox:


拼多多事件起因:

拼多多此前與一檔電視節目(江蘇衛視《非誠勿擾》)開展合作時,因節目錄制,需要生成特殊的優惠券型別。本次事件中,該優惠券被黑灰產團隊非法獲取,並被大量薅取羊毛,短期內產生大量損失。


啟發教訓:

1、加強業務風控建設,比如黑名單庫、代理ip偵測、裝置指紋、後端全鏈路關聯分析;2、對業務上/下線加強安全管控,不用的活動頁面及時下架,以防被黑灰產利用;3、業務系統上/下線前,強化SDLC,設計資金交易等功能提前做好風險分析、安全架構評審。




如何防範被薅羊毛?


那麼,商家應該如何對抗羊毛黨帶有破壞性的“刷單”行為呢?可以從以下三個方面注意:


1、註冊環節:識別虛假註冊、減少“羊毛黨”能夠使用的賬號量。在註冊環節識別虛假註冊的賬號,並進行攔截和打擊。


2、登入場景:提高虛假賬號登入門檻,從而減少能夠到達活動環節的虛假賬號量。比如,登入環節通過驗證碼、簡訊驗證碼等手段來降低自動機的登入效率,從而達到減少虛假賬號登入量、減輕活動現場安全壓力的目的。


3、活動環節:這個是防刷單對抗的主戰場,也是減少“羊毛黨”獲利的直接戰場;這裡的對抗措施,一般有兩個方面:1)通過驗證碼(簡訊、語音)降低黑產刷單的效率。2)大幅度降低異常賬號的優惠力度。




參考來源:

  • Qcloud
  • 中國新聞網



更多資訊:





相關文章