拼多多被薅羊毛是必交的学费？多位CTO支招

【亿邦动力讯】1月21日消息从昨日凌晨开始拼多多平台出现系统漏洞美容院促销主题策划拼多多平台出现系统漏洞用户可以领取100元无门槛券。因此开始出现大批用户借此“薅羊毛”利用无门槛券下单虚拟商品例如充话费或Q币等等并一度有消息传出拼多多将因此损失200亿元。

针对此事拼多多先后发布了两则官方声明。拼多多方面回应1月20日晨有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券进行不正当牟利。针对此行为拼多多已第一时间修复漏洞并对涉事订单进行溯源追踪。同时拼多多已向公安机关报案并将积极配合相关部门对涉事黑灰产团伙予以打击。

拼多多相关发言人还在朋友圈表示：“真的没有200亿深更半夜的……全国人民全部起来每人薅十块钱大家觉得可能么……就看周一三大运营商会不会涨停了”。

在这则辟谣声明过后#拼多多实际损失或低于千万#的话题也登上了新浪微博热搜榜的前五位。但疯狂的羊毛党喧嚣过后拼多多又该如何快速止损和解决此事？羊毛党在互联网环境下存在已久平台的预警机制和风控系统该如何升级防范？为何黑产能利用规则漏洞薅走价值数千万的优惠券主打算法驱动的拼多多还有哪些必须的功课要做？

修复 砍单 止损

毫无疑问快速修复漏洞是所有人的第一选择。在这次调查中几乎所有的CTO和技术人士都回答首先要止损下架相关优惠券减少影响进行紧急补救。

有超过5位的受访CTO表示大的电商平台都难免要遭受黑产的攻击。对于这种情况平台需要首先安抚用户和商家针对实体商品直接进行砍单止损通过技术在后台取消订单尽可能的减少损失是头等大事。但是黑产“羊毛党”肯定不会买实物商品类似于话费、Q币类订单很难追回。

有多位受访者表示在法律允许内的范围内恶意被人利用漏洞的话是可以直接砍单已经付出的成本可以要求用户退还。当然这个成本很高已经超出了一个CTO的负责范围这个时候技术团队要和运营团队、法务团队、客服团队、商家服务团队和公关团队都联动起来想办法止损。

“如果是我负责的话我应该还会清理数据看看利用优惠券下单的用户哪些是自然人哪些是黄牛。”一位连锁零售品牌的技术负责人向亿邦动力表示虽然表面上看起来都是手动“薅羊毛”但背后肯定是程序操作占绝大多数。

系统bug？操作失误？

根据拼多多的官方回复此次事件是因为黑产利用了规则漏洞盗取了优惠券而具体原因尚未得知。关于背后原因的传言也众说纷纭这一损失究竟是人为操作失误造成还是技术漏洞的影响呢？

超过3位有电商平台工作经验的技术人士表示这种漏洞其实是属于常规的Bug并没有很特殊很多电商平台都会有类似的漏洞刷优惠券刷积分的羊毛党到处都是。但是拼多多流量大受关注度较高加上100元优惠券的额度比较大导致了这次事件的影响较大。

不过也有4位受访者认为从目前公布的信息来看更像是人为的操作问题。

有一位零售业技术提供商认为这次事件的原因可能是程序开发问题在开发时限制条件写错了或者这个优惠券是测试数据没有及时删除。“系统应该会对无门槛券进行设置领券的对象会有针对性的限制条件而不是平台每个账号都能领这个限制条件应该是存在漏洞。”

另一位电商平台的技术负责人判断现在黑产都是用程序自动监控各网站的优惠券所以优惠券放出来后立刻就被发现了。“我觉得不能算程序bug应该是人为操作失误同时也暴露了拼多多内部的流程不完善审核有问题无门槛券风险极大很多平台都需要多级审批。一旦触发相关预警机制系统会自动给几十个相关负责人发短信通知。”

拼多多的“学费”

正如上述人士所言拼多多除了止损和修复2019教师节活动方案集锦拼多多除了止损和修复也要借此事重新建设预警机制和风控系统以及内部的相关工作流程。有信息显示直到今天早上10点左右拼多多这一BUG才被修复。

几乎所有的受访者都判断拼多多在预警和风控上没有做到位。“营销系统是电商核心系统之一各种条件的设置非常复杂有互斥的、并列的等等。从管理上来讲技术肯定要背负一定责任。拼多多在补上漏洞后应该注意后续的防范措施这个事件说明它缺少基本的熔断机制没有预警。如果防范意识足够高风控团队和系统是可以帮助拦截的。”一位SaaS平台的技术负责人表示。

“这种bug是低级类错误本身是容易发现的在业内比较常见。如果是实物产品设置错价格这种责任人的责任就较大；如果是技术漏洞那就立即暂停业务技术补救一般不会有人追责。”一位电商平台的CTO表示。

在和多位受访者沟通中亿邦动力发现实际上这种案例时常发生只不过多数公司没有报道出来。据一位受访者透露曾有互联网金融公司遭遇过类似事件损失超过一个亿通过及时补救和追回实际损失也只有一千万。

不可置否在互联网的生存环境下规模越大风险就越大。“越不起眼的地方越可能出个大炸弹要敬畏每一个细节。年底逼近你放松了羊毛党并没有放松。所有CTO、COO或许都要做个自我检视要重视信息安全和风险管理。”一位零售品牌的CTO感叹道。