崔鵬

疑似黑產(chǎn)軍團(tuán)已殺向拼多多

1月20日上午，大量網(wǎng)友在社交平臺(tái)發(fā)布消息稱，從當(dāng)日凌晨開(kāi)始，《拼多多》上出現(xiàn)重大BUG，用戶可以直接領(lǐng)取100元無(wú)門(mén)檻優(yōu)惠券。這一BUG被“羊毛黨”發(fā)現(xiàn)后迅速在網(wǎng)絡(luò)傳播，直至當(dāng)日上午10點(diǎn)左右，系統(tǒng)才被官方修復(fù)，相關(guān)優(yōu)惠券被全部下架。

一時(shí)間，各種傳言開(kāi)始在網(wǎng)絡(luò)上散布，比如拼多多一夜損失200億元，用戶“薅羊毛”充話費(fèi)或Q幣被拼多多客服威脅起訴等，后來(lái)都被證實(shí)為謠言。

拼多多官方表示，有黑灰產(chǎn)團(tuán)伙通過(guò)一個(gè)過(guò)期的優(yōu)惠券漏洞，盜取數(shù)千萬(wàn)元平臺(tái)優(yōu)惠券，進(jìn)行不正當(dāng)牟利，平臺(tái)已第一時(shí)間修復(fù)漏洞，并對(duì)涉事訂單進(jìn)行溯源追蹤，同時(shí)已向公安機(jī)關(guān)報(bào)案。

官方聲明無(wú)法阻擋網(wǎng)友議論的熱情，當(dāng)日拼多多相關(guān)話題多次登上新浪微博和百度的熱搜榜。不斷有網(wǎng)友在社交平臺(tái)上曬出成千上萬(wàn)元的話費(fèi)和Q幣充值記錄，部分用戶為應(yīng)對(duì)潛在的拼多多追責(zé)風(fēng)險(xiǎn)，聲稱已將Q幣消費(fèi)，轉(zhuǎn)換為游戲道具交易出手。

在這場(chǎng)“羊毛黨”和疑似黑產(chǎn)勢(shì)力的狂歡中，有很多令人好奇的地方，包括漏洞到底何時(shí)被發(fā)現(xiàn)，中間漫長(zhǎng)的業(yè)務(wù)鏈條中哪個(gè)環(huán)節(jié)出了問(wèn)題，拼多多又做了怎樣的處理，受影響的商戶有多少等。

對(duì)于上述問(wèn)題，截至發(fā)稿前，仍無(wú)明確說(shuō)法。拼多多在回復(fù)相關(guān)媒體問(wèn)詢時(shí)回應(yīng)稱，警方調(diào)查期間，暫時(shí)不方便披露案件相關(guān)細(xì)節(jié)，后續(xù)有最新進(jìn)展會(huì)第一時(shí)間跟大家同步。

有別于以往的三大特點(diǎn)

從目前公開(kāi)信息看，本次拼多多優(yōu)惠券有幾個(gè)問(wèn)題較為特殊。

首先，卡券的領(lǐng)取數(shù)量沒(méi)有上限。無(wú)門(mén)檻優(yōu)惠券，與常見(jiàn)的“滿減”優(yōu)惠券不同，后者能借助少量補(bǔ)貼拉動(dòng)大量用戶消費(fèi)，有助于電商平臺(tái)完成GMV等主要經(jīng)營(yíng)數(shù)據(jù)；而前者不需要用戶進(jìn)行任何額外消費(fèi)，幾乎等同于給用戶“送錢(qián)”。

所以通常全場(chǎng)通用的無(wú)門(mén)檻優(yōu)惠券都會(huì)進(jìn)行領(lǐng)取限制，比如針對(duì)同一賬號(hào)、手機(jī)號(hào)和設(shè)備ID等進(jìn)行購(gòu)買(mǎi)數(shù)量限制。在現(xiàn)有的拼多多其他優(yōu)惠券中，也標(biāo)注著“如有發(fā)現(xiàn)惡意刷券等違規(guī)行為，平臺(tái)有權(quán)在法律范圍內(nèi)進(jìn)行相應(yīng)處理”等字樣。

不過(guò)，拼多多似乎并未設(shè)置本次優(yōu)惠券的領(lǐng)取上限，加上該優(yōu)惠券不是傳統(tǒng)的“搶購(gòu)”設(shè)置，而是隨意領(lǐng)取，這也直接導(dǎo)致拼多多官方口徑中的“數(shù)千萬(wàn)元”資產(chǎn)損失產(chǎn)生。

其次，無(wú)門(mén)檻優(yōu)惠券能兌換虛擬商品。電商平臺(tái)從業(yè)者劉昕（化名）告訴筆者，一般來(lái)說(shuō)，無(wú)門(mén)檻優(yōu)惠券不能兌換虛擬產(chǎn)品（包括話費(fèi)、Q幣和游戲點(diǎn)卡等）以及金銀等貴金屬投資品。從各大平臺(tái)實(shí)際情況看，全場(chǎng)通用的優(yōu)惠券通常會(huì)標(biāo)注“虛擬商品除外”字樣。

虛擬商品交易是網(wǎng)絡(luò)黑產(chǎn)的慣用“洗錢(qián)”手法，所以被各大電商平臺(tái)所重視，在優(yōu)惠券使用范圍上進(jìn)行嚴(yán)格限制。同時(shí)，禁止兌換虛擬商品，也便于追蹤黑產(chǎn)身份，畢竟實(shí)物商品需要郵寄地址。

本次事件里，拼多多優(yōu)惠券卻可以無(wú)障礙兌換前述虛擬商品。在筆者采訪過(guò)程中，諸多從業(yè)者對(duì)此表示驚訝。

最后，無(wú)門(mén)檻優(yōu)惠券金額為何如此大。與普通滿減優(yōu)惠券不同，無(wú)門(mén)檻優(yōu)惠券的金額通常都不大，尤其是能兌換虛擬商品的優(yōu)惠券，額度在個(gè)位數(shù)的較多。在京東和淘寶等平臺(tái)，話費(fèi)優(yōu)惠券一般不超過(guò)5元。而本次拼多多的優(yōu)惠券面額為100元，這類大額無(wú)門(mén)檻優(yōu)惠券并不屬于常見(jiàn)類型，尤其是考慮到其不設(shè)上限的領(lǐng)取數(shù)量。

對(duì)于拼多多這樣一家體量?jī)H次于阿里巴巴和京東的電商巨頭來(lái)說(shuō)，它在設(shè)計(jì)、測(cè)試、上線和風(fēng)控等多個(gè)流程中，應(yīng)該都有嚴(yán)格的安全保護(hù)措施，以及錯(cuò)誤預(yù)警和處理方案，然而這次優(yōu)惠券事件對(duì)它的技術(shù)和安全口碑無(wú)疑會(huì)產(chǎn)生影響。

“薅了羊毛”的用戶怎么辦

另外一個(gè)被廣泛關(guān)心的問(wèn)題是，那些“薅羊毛”的普通用戶，拼多多該如何處理。目前拼多多未就此作進(jìn)一步說(shuō)明。

與涉嫌違法犯罪的網(wǎng)絡(luò)黑產(chǎn)不同，“薅羊毛”行為在互聯(lián)網(wǎng)用戶間較為常見(jiàn)。此前其他公司也遇到過(guò)類似漏洞，一般在確認(rèn)系平臺(tái)工作失誤并且損失不大的情況下，會(huì)選擇自我承擔(dān)損失。

2017年12月31日，騰訊視頻曾被爆出系統(tǒng)BUG，用戶僅需支付0.2元就能獲得價(jià)值20元的視頻會(huì)員，并且同一賬戶可以多次購(gòu)買(mǎi)。該漏洞出現(xiàn)后半小時(shí)，騰訊便發(fā)現(xiàn)并將其關(guān)閉，但即便如此，仍有39萬(wàn)名用戶參與，生成訂單287萬(wàn)筆，簡(jiǎn)單計(jì)算可知騰訊視頻因此損失超過(guò)5 600萬(wàn)元會(huì)員費(fèi)。

2018年1月5日，在最終調(diào)查結(jié)束后，騰訊視頻宣布該問(wèn)題由其工作失誤所致，用戶購(gòu)買(mǎi)的異常訂單，騰訊將全部?jī)冬F(xiàn)，并不再扣費(fèi)。

不過(guò)，自2019年1月1日起正式施行的《電子商務(wù)法》第四十九條有如下規(guī)定：電子商務(wù)經(jīng)營(yíng)者發(fā)布的商品或者服務(wù)信息符合要約條件的，用戶選擇該商品或者服務(wù)并提交訂單成功，合同成立。當(dāng)事人另有約定的，從其約定。電子商務(wù)經(jīng)營(yíng)者不得以格式條款等方式約定消費(fèi)者支付價(jià)款后合同不成立；格式條款等含有該內(nèi)容的，其內(nèi)容無(wú)效。

查閱拼多多《拼多多服務(wù)協(xié)議》可知，在“用戶守則”之下，包含有“禁止使用拼多多平臺(tái)外掛或利用拼多多平臺(tái)當(dāng)中的BUG來(lái)獲得不正當(dāng)?shù)睦妗钡募s定內(nèi)容。

上海大邦律師事務(wù)所高級(jí)合伙人游云庭告訴筆者，從目前披露的信息來(lái)看，拼多多優(yōu)惠券是一起民事案件，而不是刑事案件，它屬于平臺(tái)自己產(chǎn)品設(shè)計(jì)的問(wèn)題，而不是黑客攻擊導(dǎo)致，如果拼多多需要維權(quán)，這次事件在法律上可能構(gòu)成“重大誤解”。

根據(jù)《民法通則》顯示，重大誤解，指的是一方當(dāng)事人因自己的過(guò)錯(cuò)導(dǎo)致對(duì)合同的內(nèi)容等發(fā)生誤解而訂立了合同。重大誤解行為，在法律上屬于可撤銷行為，但一般行使撤銷權(quán)需要通過(guò)法院進(jìn)行。

實(shí)際上，法院為了保護(hù)交易安全，在“重大誤解”的案件判決上非常謹(jǐn)慎，如果只是一兩百元的小額事件不會(huì)輕易判決。游云庭認(rèn)為，如果用戶沒(méi)有使用優(yōu)惠券，拼多多禁止其使用并無(wú)問(wèn)題，但如果用戶已經(jīng)將優(yōu)惠券消費(fèi)掉，拼多多不應(yīng)在法院沒(méi)有判決前直接凍結(jié)相關(guān)交易。

網(wǎng)絡(luò)黑產(chǎn)陰魂不散？

作為一家美股上市公司，拼多多需要在本季度財(cái)報(bào)中披露這次漏洞事件所帶來(lái)的實(shí)際損失數(shù)據(jù)。優(yōu)惠券如果用于平臺(tái)自營(yíng)商品，需要在財(cái)報(bào)中計(jì)算為銷售成本，優(yōu)惠券用戶和第三方商戶，則計(jì)算為營(yíng)銷成本。

財(cái)報(bào)顯示，2018年第三季度，拼多多營(yíng)收為33.72億元，歸屬于普通股股東的凈虧損為10.98億元。從這個(gè)數(shù)據(jù)來(lái)看，若本次事件中最終損失數(shù)千萬(wàn)元，對(duì)拼多多來(lái)說(shuō)影響不小。與此前騰訊視頻和東航等公司的BUG事件不同，本次拼多多對(duì)外表示有網(wǎng)絡(luò)黑產(chǎn)勢(shì)力牽扯進(jìn)入。

利用公司業(yè)務(wù)漏洞而進(jìn)行違規(guī)操作，在網(wǎng)絡(luò)黑產(chǎn)行為中所占的比例并不小。騰訊安全的數(shù)據(jù)顯示，截至2018年底，騰訊綜合安全服務(wù)平臺(tái)受理的用戶有效舉報(bào)超過(guò)1 247萬(wàn)次，受理舉報(bào)打擊最多的類型為詐騙，其次是黃賭毒，第三就是違規(guī)使用騰訊業(yè)務(wù)，占比為8%，按數(shù)字計(jì)算接近百萬(wàn)級(jí)。對(duì)于P2P和電商等行業(yè)而言，與網(wǎng)絡(luò)黑產(chǎn)的斗爭(zhēng)是一項(xiàng)長(zhǎng)期而復(fù)雜的工程，各家公司尤其是巨頭都非常重視，有一套相對(duì)完整的應(yīng)對(duì)流程，拼多多也理應(yīng)有充足準(zhǔn)備。最后，本次事件中暴露出的諸多謎團(tuán)，有待拼多多披露更多新消息來(lái)揭開(kāi)。