拼多多被爆漏洞后股价迎4连阳市值暴涨50亿美元一度超京东 本报记者 李乔宇 在平台出现漏洞坦言被薅走总价值数千万元优惠券之后,拼多多股价不跌反涨。 1月20日凌晨,电商平台拼多多出现漏洞,平台用户仅支付少量资金即可不限量领取100元无门槛券。 对此,拼多多方面随后对《证券日报》记者表示,上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。 1月22日,拼多多被爆出现bug后的第一个美股交易日,公司股价不跌反涨,22日上涨0.72%。此后的三个交易日中,拼多多股价涨幅分别为5.96%、7.76%以及2.64%。据《证券日报》记者计算,在被爆出现漏洞后的一周中,拼多多股价上涨18.05%,市值较1月18日收盘时增长了49.97亿美元。 期间,拼多多市值一度超过京东。1月24日,拼多多股价上涨7.76%,报收于28.74美元/股,市值报收318.38亿美元。同期,京东股价上涨0.59%,报收22.1美元/股,市值报收313.51亿美元。不过随后的1月25日,京东股价放量上行涨6.92%,以15亿美元的市值差距再度超越拼多多。 对于“利空”反而带来股价上涨一事,市场并不显得惊讶。此前亦有业内人士对《证券日报》记者分析,用户薅羊毛一事对于拼多多而言可能并非坏事。该人士指出,一方面羊毛党口口相传,相关事宜亦引发市场热议,进一步传播了拼多多的品牌;另一方面大量用户薅羊毛一事也佐证了拼多多庞大的用户量以及用户活跃度,也给予了投资者信心。 据拼多多此前披露的财报数据显示,截至2018年9月30日的12个月期间,平台活跃买家数为3.855亿家,同比增长144%,较上季新增4200万家;三季度平台移动客户端平均月活用户数为2.317亿户,同比增长226%,较上季新增3700万户。 值得一提的是,在相关事宜登上热搜引发市场关注之时,拼多多方便趁机宣布在相关活动期间将追加一亿元年货红包津贴向平台消费者进行发放。同时强调拼多多平台期间及后续的正常订单,均不会受此事件影响。 此外,有分析人士认为,拼多多股价的上行可能来自于中概股1月24日以及1月25日连续两个交易日普涨的东风。分析认为,市场预期2019年美联储加息节奏放缓、近期贸易利好消息频传也令中概股迎来阶段性反弹行情。 不过另有研究人士认为,2019年中概股先扬后抑的可能性偏大。中概股的估值调整仍然有进一步释放的空间,龙头股的下行周期并没有完全结束。[详情]
拼多多市值 新浪财经讯 北京时间1月25日早间消息,根据新浪财经数据,拼多多市值报318.38亿美元,超过京东313.51亿的市值。 拼多多股价周四大涨。截至收盘时,拼多多股价收于28.74美元,上涨2.07美元,涨幅达7.76%。而京东股价收于22.1美元,上涨0.13美元,涨幅为0.59%。 拼多多近日遭遇两大利空,一方面,拼多多被曝出现重大漏洞,引来大批用户“薅羊毛”,导致公司声誉和资金遭到重大损失。另一方面,拼多多股票的禁售期将于1月22日结束。届时,将有大量拼多多股东二级市场出售股票进行套现。 关于“被薅羊毛”事件,拼多多发布声明称,上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。拼多多将坚决打击黑灰产团伙,不会存在半分妥协与让步。 拼多多表示,因涉案金额巨大,公安机关预计将会对涉嫌套券诈骗、牟取巨额不当利益的涉事黑灰产团伙追究刑事责任。 关于“股票解禁”,有分析人士指出,由于拼多多IPO只有14.5%的流通股用于交易,解禁后二级市场股票供应料将有大幅增加。 拼多多股价在过去的半年里波动强烈:IPO定价于19美元,首日收盘价就达到26.70美元,涨幅达40.5%;之后不断下跌至17.22美元,然后就一路上涨,创造目前历史最高价30.48美元,但随后再次下跌,达到历史最低价16.53美元;此后公司股票在22美元附近震荡。[详情]
新浪科技讯 北京时间1月24日凌晨消息,拼多多周三股价上涨,截至收盘,拼多多报26.67美元,涨幅达5.96%,市值达295.45亿美元。 拼多多近日遭遇两大利空,一方面,拼多多被曝出现重大漏洞,引来大批用户“薅羊毛”,导致公司声誉和资金遭到重大损失。 另一方面,拼多多股票的禁售期于1月22日结束。或有大量拼多多股东二级市场出售股票进行套现。 关于“被薅羊毛”事件,拼多多发布声明称,上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。拼多多将坚决打击黑灰产团伙,不会存在半分妥协与让步。 拼多多表示,因涉案金额巨大,公安机关预计将会对涉嫌套券诈骗、牟取巨额不当利益的涉事黑灰产团伙追究刑事责任。 关于“股票解禁”,有分析人士指出,由于拼多多IPO只有14.5%的流通股用于交易,解禁后二级市场股票供应料将有大幅增加。[详情]
新浪科技讯 1月22日晚间消息,拼多多开盘跌4.13%,报24美元,目前市值262.76亿美元。 拼多多近日遭遇两大利空,一方面,拼多多被曝出现重大漏洞,引来大批用户“薅羊毛”,导致公司声誉和资金遭到重大损失。 另一方面,拼多多股票的禁售期将于1月22日结束。届时,将有大量拼多多股东二级市场出售股票进行套现。 关于“被薅羊毛”事件,拼多多发布声明称,上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。拼多多将坚决打击黑灰产团伙,不会存在半分妥协与让步。 拼多多表示,因涉案金额巨大,公安机关预计将会对涉嫌套券诈骗、牟取巨额不当利益的涉事黑灰产团伙追究刑事责任。 关于“股票解禁”,有分析人士指出,由于拼多多IPO只有14.5%的流通股用于交易,解禁后二级市场股票供应料将有大幅增加。[详情]
快看|“羊毛党”事件过后,拼多多盘前跌幅近6% 美股开盘前,拼多多盘前跌幅近6%。 王付娇 周末拼多多的“羊毛党”事件终于在资本市场上有了反应。 北京时间1月22日下午,美股开盘前,拼多多盘前跌幅近6%。在开盘后股价略有回升。截至界面新闻记者发稿时,拼多多股价为24.99美元,公司市值229.8亿美元。 在周末的bug中,拼多多对损失的金额一直语焉不详。官方拒绝透露涉事金额,是否追回尚无说法。根据拼多多报案称,金额涉及上千万元。不过之前有媒体报道称,拼多多在该事件中的损失过亿。拼多多曾称“资损200亿”是谣言。根据最新的进展,目前上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。 股价下跌的另一个因素也与拼多多第一批股票解禁有关。拼多多180天的锁定期将在2019年1月22日结束,届时公司股东及内部人士能够在二级市场上出售目前的限售股。根据协议,目前只有14.5%的股份处于流通交易;待锁定期结束后,会有大量的流通股进入二级市场,任何重大交易都将可能导致短期公司股价的急剧下跌。 在过去的半年里,波动强烈:IPO定价于19美元,首日收盘价就达到26.70美元,涨幅达40.5%;之后不断下跌至17.22美元,然后就一路上涨,创造目前历史最高价30.48美元,但随后再次下跌,达到历史最低价16.53美元;此后公司股票在22美元附近震荡。 (本文来自于界面)[详情]
拼多多被薅羊毛吗?维权律师:普通消费者领到的优惠券应兑现 来源:中国消费者报 20日凌晨 网购平台拼多多 忽然被曝出现重大bug…… 用户可以领取100元无门槛优惠券 据页面显示 有效期一年 且全场通用 得知这一bug的网友 迅速开始薅羊毛 不过当天早上9点许 该bug被修复 领取优惠券页面被关闭 有网友反映 已领却未用的优惠券已无法使用 随后网络开始流传拼多多将应这次bug导致损失超过200亿元,甚至有网友担心“拼多多会不会一夜倒闭”。 针对网络上的这个传言,拼多多发言人表示,震惊谣言传播的速度,拼多多实际最终资损或低于千万元人民币。 20日中午 拼多多对此事做出声明 声明中称:已就此事向公安机关报案 最新进展 被认定“网络诈骗” 涉事订单已冻结 1月21日,拼多多发布最新情况说明。拼多多表示,黑灰产团伙盗取的相关优惠券,系拼多多此前与江苏卫视《非诚勿扰》开展合作时生成的优惠券。目前上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。 据拼多多方面介绍,被盗取的相关优惠券是《非诚勿扰》节目录制需要特殊生成的优惠券类型,仅供现场嘉宾使用。拼多多从未针对该类型优惠券生成任何二维码,更从未在APP及小程序中展示过此类优惠券相关信息及二维码,甚至从未有任何线上入。 而黑灰产团伙通过非正常途径生成的二维码扫码后获得这批优惠券,此后该二维码多流传于社交平台相关黑灰产群。通过该非正常途径生成的二维码每个用户仅可领取一张无门槛100元优惠券。因此,有黑灰产团伙通过不法手段,实现N张手机黑卡同时作业,批量盗取优惠券,并通过手机话费、Q币等虚拟充值的方式,试图在短时间内转移不当所得,涉案优惠券总额达数千万元。 拼多多方面将矛头直指“黑灰产团伙” 但其实 羊毛党和“薅羊毛”行为一直存在 国家互联网应急中心曾对“黑产”作了如下界定: 一是发动涉嫌拒绝服务式攻击的黑客团伙; 二是盗取个人信息和财产账号的盗号团伙; 三是针对金融、政府类网站的仿冒制作团伙。 “灰产”则是指“恶意注册和虚假认证”,是“黑产”的上游产业链。 这里需要明确一点,黑灰产的说法仅是实践中的称呼而已,在法律层面上,目前并无黑灰产的明确定义。根据其行为的不同,可能会构成诈骗罪、合同诈骗罪、盗窃罪、破坏计算机信息系统罪等。 羊毛党,是关注与热衷于“薅羊毛”的群体,指那些专门选择互联网公司的营销活动,以低成本甚至零成本换取高额奖励的人。从2013年下半年兴起到现在,“羊毛党”早已不只是占小便宜的代名词,也不再是简陋的小作坊,他们中的大多数建立了网站、工作室等,逐渐形成规模化运营。 “被薅的羊毛”是否可追回? 律师说法不一 在修复bug后,拼多多方面也采取了紧急措施。许多网友表示,目前账户内的100元无门槛券已被拼多多官方回收。 此外,网上亦有疑似拼多多内部截图称,希望所有商家不要发货:“今天内技术会全部砍单,所有商家不要发货,发了货的马上追回包裹,降低损失。平台会给消费者补偿5元无门槛券”。 禁止商家发货,能行吗? 据《电商法》第四十九条:“电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择该商品或者服务并提交订单成功,合同成立。当事人另有约定的,从其约定。电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立;格式条款等含有该内容的,其内容无效。” 也就是说,消费者付款以后,商家不能用“格式条款等方式”约定付款后合同不成立的。 不过,拼多多的用户守则中同样规定,用户不得“利用拼多多平台外挂和/或利用拼多多平台当中的bug来获得不正当的利益”。 可是怎么来界定bug? 浙江垦丁律师事务所主任张延来认为,对于系统bug的界定,主要看系统是否按照平台规则或者正常使用目的发放无门槛券,明显超出规则范围或使用目的的,应该认定为系统bug。被重复领取的无门槛券,在法律上不应该对平台和商家产生约束力,拼多多无须履行对应的义务,可以将其回收。 但北京市律师协会消费者权益保护委员会主任葛友山律师认为,拼多多是否能够追回需要分情况讨论。“在这个事件中,拼多多首先要对善意消费者的消费行为进行保护,普通消费者合理、善意取得的优惠券,拼多多应该兑付承诺或者完成交易行为。对于恶意的、‘充值巨大金额’的用户,拼多多也可以启动它的维权程序,可以否认交易结果向法院申请撤销交易合同。” 目前,拼多多方面称其已经报警。上海公安部门针对此次事件的表态是:如果真的是有黑产羊毛党恶意搞拼多多,那么本次事件是可以被当成欺诈罪处理的刑事问题。 一个bug引发的惨案 并非拼多多一起 东航、腾讯视频事后认可有效 2018年11月17日凌晨,东航系统被爆出现bug,很多航线的机票折扣极大,部分机票价格仅为50元,多条国内航线头等舱商务舱往返机票,最低只需90元。 东航在事后发布通报称,在系统维护时售出的所有机票(支付成功并已出票)全部有效,旅客可正常使用。 无独有偶,2017年12月31日,腾讯视频会员充值出现异常,原本18元的九折充值活动,仅扣费0.2元。腾讯不仅对已充值的用户全部兑现,而且退回了用户被扣的0.2元。如果按每笔订单平均充值一年会员来算,损失超过5个亿。 2018年4月,小米旗下的米家有品商城也曾出现过价格bug:原价599元的商品只需要0.01元就可购买。但因为所购商品都是实体物品,平台发现bug时商品也还未寄出,最终,米家有品提供的解决方案是取消订单并赠送用户优惠券。 但拼多多表示,此次事件与此前某航、某电商平台等一系列因漏洞所致资损事件存在本质差别,前者为平台错误操作、非正常发放所致的民事问题,此次拼多多优惠券事件则为“套券诈骗”的网络诈骗案件。[详情]
拼多多的大bug非个案 但薅羊毛也需谨慎 [去年8月,网上传出只要在某OTA国际版网站上购买机票时选“土耳其里拉”付款,付款后再去某航App退票,可以获得约17%的收益。] 拼多多也中枪了。 1月20日凌晨,电商平台拼多多被曝出现重大bug(漏洞),用户可领100元无门槛优惠券,这一漏洞引来了大批用户“薅羊毛”。 拼多多并不是唯一被薅羊毛的电商平台。记得去年11月,多家OTA上就曾出现大量外航bug票,中日往返含税不到出租车起步价,洲际往返含税还没你从机场叫车回家贵。 随后,一家代理商发出公告书,表示当晚共产生了逾200单bug机票订单,损失差额预计超过500万元。由于自身无力承担巨额损失,因此将联系购票人取消订单。 从公告书中得知,当晚的bug机票事件,是由于银行外汇牌价系统错误引发。简单地说,银行系统出错,导致前一天晚上的美元一度“贬”成了日元。 其实这也不是第一次发生因为汇率导致的机票异常事件。去年8月,土耳其里拉暴跌,网上传出只要在某OTA国际版网站上购买机票的时候,选“土耳其里拉”付款,付款完毕之后再去某航App退票,可以获得约17%的收益。 该事件过后,该OTA开始使用双外汇牌价系统,同时加强了自身系统对异常价格的监控。 实际上,每一次发生bug机票事件,客观上也是在推动当事方对系统做出改进。 而在客票系统不断改进的同时,却也催生出通过软件监测票价异常,甚至恶意囤购大量bug机票、有偿出售bug机票信息的群体。 在最近几年的bug机票事件中,国内航司、OTA一般会照顾到旅客的合理出行需求,对于出行受到影响的旅客,国内航司或OTA在取消订单时会给予购票者一定的补偿。 但也有人盯上了航司、OTA的善意。在2016年新航bug票事件中,就有人恶意购票并企图向售出bug票的平台索要高额补偿。 需要指出的是,在国际范围内,这样的“补偿”并不是一种惯例,境内外的航司、OTA都有不给任何补偿的案例。 笔者特意为此咨询了几位法律界人士,如果机票出票了,航司/代理人与旅客的运输合同就正式建立了,擅自解除或者更改合同,属于违约,须赔偿。这时候,旅客可以举证损失,比如可主张按照重新购买的机票差价赔偿,或者已经支出的不可退的酒店预订等损失。 不过,《中华人民共和国合同法》中也有这么一条规定,称如果因重大误解而订立的合同,当事人一方有权请求法院变更或者撤销。不过,这里的“重大误解”是要错得多离谱,是否达到了常人可判断的程度,还需要具体事件具体分析,最终由法官判决。 所以,每次薅羊毛的过程,也是跌宕起伏的斗争史。 发生bug票事件,一般旅客基于个人需求购买还可以理解,但如果是恶意囤票,不仅可能触发平台的报警机制,导致订单被冻结,更有违道德,也有被列入黑名单的风险,损人不利己。 羊毛虽好,可也别把羊薅死了。[详情]
黑产“薅羊毛”就是犯罪 观察家 黑产团队并不是什么草莽英雄,也不是什么草根代表。打击黑产和羊毛党,应当成为大数据时代最重要的共识。 该还的总归要还。一大早,前天参与拼多多薅羊毛狂欢的一些用户发现,拼多多平台强制取消了部分订单,也有充值话费的网友发现,自己的话费被运营商强制退回。但没想到的是,如今薅羊毛也可以理直气壮地站在道德高地。一些用户在接受采访时义愤填膺,认为自己只是领了个优惠券,平台不该强制取消,不少人认定平台的错不应该让用户承担损失。 尊重他人财产权,是基础社会规则的一部分,而薅羊毛和网络黑产,多数情况下做的事,都是数据时代的欺诈和盗窃。 在拼多多提供的详细声明中,能清晰看到羊毛党是如何侵占企业利益的。声明显示,羊毛党们所利用的优惠券,是拼多多与某电视节目合作中临时生成的优惠券,并且,从未公开出现在任何一次促销活动之中,也没有开放过入口。而黑产团队通过非正常途径发现漏洞并生成二维码,在公开范围内进行了传播。 这已经是很明显的技术犯罪,与传统意义上的“薅羊毛”完全是两码事。通俗来说,这等于是一个专业团队发现了他人门锁上的漏洞,攻破门锁进行盗窃,并且,为了免除责任,干脆将大门敞开,让所有人都进来搬点东西回家,以制造一种“公开发放优惠券”的假象,来免除盗窃责任。 因此,用户抱怨平台不该收回优惠券完全没有任何道理可言。不管是遇到他人家门洞开,还是高速路遇到货车翻车,用户都没有理由拿走原本属于平台的东西。这是对他人财产权的基本尊重,失主也理所应当可以采取各种手段索回丢失资产。 对于像拼多多这样的新晋电商巨头,此次攻击事件暴露了其风控体系的基础漏洞。但更值得反思的是,一起本质上是严重的盗窃公司财务案件,为何在公共舆论里陷入了一种无罪化的狂欢? 不能因为技术盗窃的便利和无障碍,围观者就轻松谅解他人,宽容自己。 “羊毛党”三个字刚见诸报端时,的确曾享受过一阵子道德豁免的特权。当时,互联网公司因为风控体系和制度设计问题,经常出现一些能够被用户利用的打折漏洞,继而,羊毛党也在很多人心中,有了一种“个体通过精明算计与商业巨头讨价还价”的假象。但随着技术和风控手段升级,普通人意义上的“薅羊毛”空间几乎不存在了。羊毛党成为一个专业的犯罪团伙,他们掌握大量的手机黑卡,利用互联网公司的技术漏洞疯狂获利。事实上,现在有不少羊毛党,就是利用技术漏洞进行高科技犯罪、游走在欺诈和盗窃边缘的专业团伙。曾有专业机构做过统计,国内网络黑产上下游从业者超过160万人,每年产值超过1000亿元,从传统的银行、保险公司再到电商平台,都成为他们攻击的对象。 这是对商业环境和共识明目张胆的侵犯。公众应当认识到,黑产团队并不是什么草莽英雄,也不是什么草根代表,他们既侵犯了企业的利益,也剥夺了用户红利,并最终破坏了企业与用户之间的信任连结。而打击黑产和羊毛党,也应当成为大数据时代最重要的共识。 胡涵(媒体人)[详情]
拼多多被爆漏洞后股价迎4连阳市值暴涨50亿美元一度超京东 本报记者 李乔宇 在平台出现漏洞坦言被薅走总价值数千万元优惠券之后,拼多多股价不跌反涨。 1月20日凌晨,电商平台拼多多出现漏洞,平台用户仅支付少量资金即可不限量领取100元无门槛券。 对此,拼多多方面随后对《证券日报》记者表示,上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。 1月22日,拼多多被爆出现bug后的第一个美股交易日,公司股价不跌反涨,22日上涨0.72%。此后的三个交易日中,拼多多股价涨幅分别为5.96%、7.76%以及2.64%。据《证券日报》记者计算,在被爆出现漏洞后的一周中,拼多多股价上涨18.05%,市值较1月18日收盘时增长了49.97亿美元。 期间,拼多多市值一度超过京东。1月24日,拼多多股价上涨7.76%,报收于28.74美元/股,市值报收318.38亿美元。同期,京东股价上涨0.59%,报收22.1美元/股,市值报收313.51亿美元。不过随后的1月25日,京东股价放量上行涨6.92%,以15亿美元的市值差距再度超越拼多多。 对于“利空”反而带来股价上涨一事,市场并不显得惊讶。此前亦有业内人士对《证券日报》记者分析,用户薅羊毛一事对于拼多多而言可能并非坏事。该人士指出,一方面羊毛党口口相传,相关事宜亦引发市场热议,进一步传播了拼多多的品牌;另一方面大量用户薅羊毛一事也佐证了拼多多庞大的用户量以及用户活跃度,也给予了投资者信心。 据拼多多此前披露的财报数据显示,截至2018年9月30日的12个月期间,平台活跃买家数为3.855亿家,同比增长144%,较上季新增4200万家;三季度平台移动客户端平均月活用户数为2.317亿户,同比增长226%,较上季新增3700万户。 值得一提的是,在相关事宜登上热搜引发市场关注之时,拼多多方便趁机宣布在相关活动期间将追加一亿元年货红包津贴向平台消费者进行发放。同时强调拼多多平台期间及后续的正常订单,均不会受此事件影响。 此外,有分析人士认为,拼多多股价的上行可能来自于中概股1月24日以及1月25日连续两个交易日普涨的东风。分析认为,市场预期2019年美联储加息节奏放缓、近期贸易利好消息频传也令中概股迎来阶段性反弹行情。 不过另有研究人士认为,2019年中概股先扬后抑的可能性偏大。中概股的估值调整仍然有进一步释放的空间,龙头股的下行周期并没有完全结束。[详情]
拼多多市值 新浪财经讯 北京时间1月25日早间消息,根据新浪财经数据,拼多多市值报318.38亿美元,超过京东313.51亿的市值。 拼多多股价周四大涨。截至收盘时,拼多多股价收于28.74美元,上涨2.07美元,涨幅达7.76%。而京东股价收于22.1美元,上涨0.13美元,涨幅为0.59%。 拼多多近日遭遇两大利空,一方面,拼多多被曝出现重大漏洞,引来大批用户“薅羊毛”,导致公司声誉和资金遭到重大损失。另一方面,拼多多股票的禁售期将于1月22日结束。届时,将有大量拼多多股东二级市场出售股票进行套现。 关于“被薅羊毛”事件,拼多多发布声明称,上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。拼多多将坚决打击黑灰产团伙,不会存在半分妥协与让步。 拼多多表示,因涉案金额巨大,公安机关预计将会对涉嫌套券诈骗、牟取巨额不当利益的涉事黑灰产团伙追究刑事责任。 关于“股票解禁”,有分析人士指出,由于拼多多IPO只有14.5%的流通股用于交易,解禁后二级市场股票供应料将有大幅增加。 拼多多股价在过去的半年里波动强烈:IPO定价于19美元,首日收盘价就达到26.70美元,涨幅达40.5%;之后不断下跌至17.22美元,然后就一路上涨,创造目前历史最高价30.48美元,但随后再次下跌,达到历史最低价16.53美元;此后公司股票在22美元附近震荡。[详情]
新浪科技讯 北京时间1月24日凌晨消息,拼多多周三股价上涨,截至收盘,拼多多报26.67美元,涨幅达5.96%,市值达295.45亿美元。 拼多多近日遭遇两大利空,一方面,拼多多被曝出现重大漏洞,引来大批用户“薅羊毛”,导致公司声誉和资金遭到重大损失。 另一方面,拼多多股票的禁售期于1月22日结束。或有大量拼多多股东二级市场出售股票进行套现。 关于“被薅羊毛”事件,拼多多发布声明称,上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。拼多多将坚决打击黑灰产团伙,不会存在半分妥协与让步。 拼多多表示,因涉案金额巨大,公安机关预计将会对涉嫌套券诈骗、牟取巨额不当利益的涉事黑灰产团伙追究刑事责任。 关于“股票解禁”,有分析人士指出,由于拼多多IPO只有14.5%的流通股用于交易,解禁后二级市场股票供应料将有大幅增加。[详情]
新浪科技讯 1月22日晚间消息,拼多多开盘跌4.13%,报24美元,目前市值262.76亿美元。 拼多多近日遭遇两大利空,一方面,拼多多被曝出现重大漏洞,引来大批用户“薅羊毛”,导致公司声誉和资金遭到重大损失。 另一方面,拼多多股票的禁售期将于1月22日结束。届时,将有大量拼多多股东二级市场出售股票进行套现。 关于“被薅羊毛”事件,拼多多发布声明称,上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。拼多多将坚决打击黑灰产团伙,不会存在半分妥协与让步。 拼多多表示,因涉案金额巨大,公安机关预计将会对涉嫌套券诈骗、牟取巨额不当利益的涉事黑灰产团伙追究刑事责任。 关于“股票解禁”,有分析人士指出,由于拼多多IPO只有14.5%的流通股用于交易,解禁后二级市场股票供应料将有大幅增加。[详情]
快看|“羊毛党”事件过后,拼多多盘前跌幅近6% 美股开盘前,拼多多盘前跌幅近6%。 王付娇 周末拼多多的“羊毛党”事件终于在资本市场上有了反应。 北京时间1月22日下午,美股开盘前,拼多多盘前跌幅近6%。在开盘后股价略有回升。截至界面新闻记者发稿时,拼多多股价为24.99美元,公司市值229.8亿美元。 在周末的bug中,拼多多对损失的金额一直语焉不详。官方拒绝透露涉事金额,是否追回尚无说法。根据拼多多报案称,金额涉及上千万元。不过之前有媒体报道称,拼多多在该事件中的损失过亿。拼多多曾称“资损200亿”是谣言。根据最新的进展,目前上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。 股价下跌的另一个因素也与拼多多第一批股票解禁有关。拼多多180天的锁定期将在2019年1月22日结束,届时公司股东及内部人士能够在二级市场上出售目前的限售股。根据协议,目前只有14.5%的股份处于流通交易;待锁定期结束后,会有大量的流通股进入二级市场,任何重大交易都将可能导致短期公司股价的急剧下跌。 在过去的半年里,波动强烈:IPO定价于19美元,首日收盘价就达到26.70美元,涨幅达40.5%;之后不断下跌至17.22美元,然后就一路上涨,创造目前历史最高价30.48美元,但随后再次下跌,达到历史最低价16.53美元;此后公司股票在22美元附近震荡。 (本文来自于界面)[详情]
拼多多被薅羊毛吗?维权律师:普通消费者领到的优惠券应兑现 来源:中国消费者报 20日凌晨 网购平台拼多多 忽然被曝出现重大bug…… 用户可以领取100元无门槛优惠券 据页面显示 有效期一年 且全场通用 得知这一bug的网友 迅速开始薅羊毛 不过当天早上9点许 该bug被修复 领取优惠券页面被关闭 有网友反映 已领却未用的优惠券已无法使用 随后网络开始流传拼多多将应这次bug导致损失超过200亿元,甚至有网友担心“拼多多会不会一夜倒闭”。 针对网络上的这个传言,拼多多发言人表示,震惊谣言传播的速度,拼多多实际最终资损或低于千万元人民币。 20日中午 拼多多对此事做出声明 声明中称:已就此事向公安机关报案 最新进展 被认定“网络诈骗” 涉事订单已冻结 1月21日,拼多多发布最新情况说明。拼多多表示,黑灰产团伙盗取的相关优惠券,系拼多多此前与江苏卫视《非诚勿扰》开展合作时生成的优惠券。目前上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。 据拼多多方面介绍,被盗取的相关优惠券是《非诚勿扰》节目录制需要特殊生成的优惠券类型,仅供现场嘉宾使用。拼多多从未针对该类型优惠券生成任何二维码,更从未在APP及小程序中展示过此类优惠券相关信息及二维码,甚至从未有任何线上入。 而黑灰产团伙通过非正常途径生成的二维码扫码后获得这批优惠券,此后该二维码多流传于社交平台相关黑灰产群。通过该非正常途径生成的二维码每个用户仅可领取一张无门槛100元优惠券。因此,有黑灰产团伙通过不法手段,实现N张手机黑卡同时作业,批量盗取优惠券,并通过手机话费、Q币等虚拟充值的方式,试图在短时间内转移不当所得,涉案优惠券总额达数千万元。 拼多多方面将矛头直指“黑灰产团伙” 但其实 羊毛党和“薅羊毛”行为一直存在 国家互联网应急中心曾对“黑产”作了如下界定: 一是发动涉嫌拒绝服务式攻击的黑客团伙; 二是盗取个人信息和财产账号的盗号团伙; 三是针对金融、政府类网站的仿冒制作团伙。 “灰产”则是指“恶意注册和虚假认证”,是“黑产”的上游产业链。 这里需要明确一点,黑灰产的说法仅是实践中的称呼而已,在法律层面上,目前并无黑灰产的明确定义。根据其行为的不同,可能会构成诈骗罪、合同诈骗罪、盗窃罪、破坏计算机信息系统罪等。 羊毛党,是关注与热衷于“薅羊毛”的群体,指那些专门选择互联网公司的营销活动,以低成本甚至零成本换取高额奖励的人。从2013年下半年兴起到现在,“羊毛党”早已不只是占小便宜的代名词,也不再是简陋的小作坊,他们中的大多数建立了网站、工作室等,逐渐形成规模化运营。 “被薅的羊毛”是否可追回? 律师说法不一 在修复bug后,拼多多方面也采取了紧急措施。许多网友表示,目前账户内的100元无门槛券已被拼多多官方回收。 此外,网上亦有疑似拼多多内部截图称,希望所有商家不要发货:“今天内技术会全部砍单,所有商家不要发货,发了货的马上追回包裹,降低损失。平台会给消费者补偿5元无门槛券”。 禁止商家发货,能行吗? 据《电商法》第四十九条:“电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择该商品或者服务并提交订单成功,合同成立。当事人另有约定的,从其约定。电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立;格式条款等含有该内容的,其内容无效。” 也就是说,消费者付款以后,商家不能用“格式条款等方式”约定付款后合同不成立的。 不过,拼多多的用户守则中同样规定,用户不得“利用拼多多平台外挂和/或利用拼多多平台当中的bug来获得不正当的利益”。 可是怎么来界定bug? 浙江垦丁律师事务所主任张延来认为,对于系统bug的界定,主要看系统是否按照平台规则或者正常使用目的发放无门槛券,明显超出规则范围或使用目的的,应该认定为系统bug。被重复领取的无门槛券,在法律上不应该对平台和商家产生约束力,拼多多无须履行对应的义务,可以将其回收。 但北京市律师协会消费者权益保护委员会主任葛友山律师认为,拼多多是否能够追回需要分情况讨论。“在这个事件中,拼多多首先要对善意消费者的消费行为进行保护,普通消费者合理、善意取得的优惠券,拼多多应该兑付承诺或者完成交易行为。对于恶意的、‘充值巨大金额’的用户,拼多多也可以启动它的维权程序,可以否认交易结果向法院申请撤销交易合同。” 目前,拼多多方面称其已经报警。上海公安部门针对此次事件的表态是:如果真的是有黑产羊毛党恶意搞拼多多,那么本次事件是可以被当成欺诈罪处理的刑事问题。 一个bug引发的惨案 并非拼多多一起 东航、腾讯视频事后认可有效 2018年11月17日凌晨,东航系统被爆出现bug,很多航线的机票折扣极大,部分机票价格仅为50元,多条国内航线头等舱商务舱往返机票,最低只需90元。 东航在事后发布通报称,在系统维护时售出的所有机票(支付成功并已出票)全部有效,旅客可正常使用。 无独有偶,2017年12月31日,腾讯视频会员充值出现异常,原本18元的九折充值活动,仅扣费0.2元。腾讯不仅对已充值的用户全部兑现,而且退回了用户被扣的0.2元。如果按每笔订单平均充值一年会员来算,损失超过5个亿。 2018年4月,小米旗下的米家有品商城也曾出现过价格bug:原价599元的商品只需要0.01元就可购买。但因为所购商品都是实体物品,平台发现bug时商品也还未寄出,最终,米家有品提供的解决方案是取消订单并赠送用户优惠券。 但拼多多表示,此次事件与此前某航、某电商平台等一系列因漏洞所致资损事件存在本质差别,前者为平台错误操作、非正常发放所致的民事问题,此次拼多多优惠券事件则为“套券诈骗”的网络诈骗案件。[详情]
拼多多被“薅羊毛”背后:你不知道的灰产 新京报 拼多多称警方已以“网络诈骗”的罪名立案;专家表示,打击“薅羊毛”黑产要直接打掉恶意注册工具提供商 1月20日凌晨,有网友称拼多多存在重大Bug,“只需支付4毛钱,就可以充值100元话费”“有大批用户开始薅羊毛,一晚上200多亿都是话费充值”。根据网友晒出的截图,此次拼多多的100元无门槛券全场通用(特殊商品除外),有效期为一年。 拼多多方面表示,当日凌晨有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。 针对该事件,拼多多称目前上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。拼多多平台正配合警方,对涉事订单进行溯源追踪,并最终依据警方的调查结果对相关订单做出依法依规处理。 对于损失高达200亿的说法,拼多多回应称这一数字不实。拼多多称黑灰产团伙大量盗取优惠券,涉案总金额达数千万元,预计本次事件造成的最终实际资损大概率低于千万元。 一个Bug引发的“薅羊毛”事件? 黑灰产团伙利用漏洞盗取数千万优惠券 1月20日上午9点5分,小南在自己的“闺蜜群”里收到一条链接,闺蜜告诉她,只要点击这个链接,就可以领取拼多多的100元优惠券。 “我以为就是一般的促销或者拉新优惠活动,就下载了拼多多App,选来选去,订了一个一直想买的智能音响。”小南告诉新京报记者,她领取的这个优惠券是“无门槛,一年有效期”。 “这个链接是我的室友在她的朋友群里看到的,然后再转发到我们闺蜜群里。后来看到网上的热搜,我才知道自己的行为可能涉及薅羊毛。”小南表示,“1月20日上午10点20分,我用优惠券购买的商品就已经联系了顺丰快递,连快递单号都告诉我了,但截至现在该商品还处在‘商家正通知快递公司取件’的状态。” 在最新的情况说明中,拼多多表示黑灰产团伙所利用的“优惠券漏洞”盗取的相关优惠券,为拼多多此前与江苏卫视《非诚勿扰》开展合作时,因节目录制需要特殊生成的优惠券类型,仅供现场嘉宾使用。 然而,黑灰产团伙通过非正常途径生成的二维码扫码后获得相关优惠券,该二维码多流传于社交平台相关黑灰产群。通过该二维码,原本每个认证信息的用户可且仅可领取一张无门槛100元优惠券,而非此前网络流传的单个ID可以“无限领取”。 因此,黑灰产团伙通过“养猫池”(用手机卡蓄养大量虚拟账号)等不法手段,实现N张手机黑卡同时作业,批量盗取该种优惠券,并通过手机话费、Q币等虚拟充值的方式,试图在短时间内迅速转移此类不当所得,涉案优惠券总金额达数千万元。 拼多多风控团队负责人表示,黑灰产团伙在盗取金额巨大的优惠券并转移其不当所得后,期望达成“法不责众”的效果,迅速通过网络和社交群将二维码分享出去,诱导一些普通消费者跟风扫码。 拼多多强调,此种类型的优惠券从未在任何时候、以任何方式出现在平台正常的线上促销活动当中,甚至从未有任何线上入口,拼多多亦未曾针对该类型优惠券生成任何二维码。但二维码具体的生成及传播过程,仍待警方调查后公布最终结论。 值得注意的是,职业羊毛党看中充话费和Q币是自动发货,因此将优惠券迅速兑现。对于拼多多而言,能否向三大运营商以及腾讯追讨这一次损失成疑,目前拼多多亦未透露是否有追讨资损的具体方案。 收回优惠券、禁止商家发货合理吗? 拼多多称是“套券诈骗”,专家:收回优惠券是合理的补救措施 出现Bug被用户“薅羊毛”的现象在国内互联网行业中时有发生。 2018年元旦期间,腾讯视频发起优惠充值活动,但因为活动服务器后台数据出现异常,有部分用户在充值一个月时出现应该支付优惠价18元实际仅被扣费0.2元的状况。当时这一漏洞共引来39万用户参与。 其后腾讯公告称,这是公司的工作失误,公司将这些异常订单全部兑现,且不再扣费。最终,腾讯为这个Bug付出超过5000万元的代价,但同时赢得网友的好评。 但拼多多并未“顺应民意”自掏腰包。在发现漏洞后,拼多多在当日9时左右紧急将所有优惠券的领取方式下架,同时取消了用户已领取但未使用的优惠券,记者留意到,当时拼多多还对App进行了优化更新。为了补偿用户,拼多多向受影响用户发放5元无门槛优惠券,有效期为50年。 拼多多表示,此次事件与其他公司一系列因Bug所致资损事件存在本质差别,这一次是“套券诈骗”的网络诈骗案件。“如按照网络中前者被以‘ATM机误吐钞’现象做类比,后者则相当于非法团伙撬开ATM机后实施盗窃。” 电子商务研究中心主任曹磊认为,从法律责任认定和用户权益保护角度出发,如果是平台主动推出的活动,那么应按照官方说明来兑现承诺,也就相当于在线跟用户签订协议,平台当然要执行。“但拼多多相关声明已经显示,是通过一个过期的优惠券漏洞盗取了优惠券。根据《合同法》相关规定,拼多多取消或收回优惠券是不需要承担法律责任的。” 他表示,如果此次拼多多出现优惠券漏洞是黑产羊毛党恶意行为,这类交易属于存在“重大误解”订立的合同,“(拼多多)是可以要求撤销的。” 北京康达律师事务所律师韩骁亦认为,拼多多收回已经领取但还没有使用的优惠券,这一做法并不会和刚出台的《电商法》相冲突。此次事件中,拼多多采用收回已领取但未使用的优惠券这一方式来应对,属于合理的补救措施。 另据记者了解,当日11时左右,拼多多的工作人员已经向部分商家发出通知,凡是已使用100元无门槛券的订单不允许发货。 根据《电商法》第四十九条规定,电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择该商品或者服务并提交订单成功,合同成立。当事人另有约定的,从其约定。电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立;格式条款等含有该内容的,其内容无效。 曹磊表示,拼多多这一做法与《电商法》不冲突。“恶意利用系统漏洞获取的优惠券,不能有效地折抵付款中的相应付款义务,所以应该视为未完成付款义务,不受电商法第四十九条第2款的约束,商家可以不发货。” 中国政法大学知识产权中心特约研究员赵占领则告诉记者,如果用户已经使用优惠券购买拼多多上第三方商家的商品,用户和商家之间的合同已经成立,拼多多可以去追究用户的责任,但不能阻止商家发货。 为何会发生“薅羊毛”事件? 拼多多称事件发生时正值平台大促,不涉及数据安全问题 关于风控的问题,拼多多表示公司一直有风控体系建设,而且本次事件不涉及任何数据安全问题,平台消费者原本正常领取的优惠券使用不会受到影响。为进一步加强“特殊优惠券”相关风控体系,拼多多透露公司已成立技术专组。 对于拼多多“被薅羊毛”一事,某反诈骗安全团队专家陈锋(化名)表示,有许多手段可以防止平台被恶意“薅羊毛”,包括限制优惠券的总数以及优惠券的应用场景,“比如设置最多10万张券,只能用于满200元的实物订单,再加上最基础的防薅羊毛策略,就能保证不出大问题”。 对于为何风控系统没有监测到异常情况,拼多多回应称事件发生时正值平台大促,其间有大批量平台正常发放的优惠券被消耗。直至当日上午9时,遭盗取优惠券和正常优惠券的总和突破平台预设阈值,系统才监控到异常并自动报警后,拼多多在第一时间修复相关漏洞。 根据网友截图,此次事件中拼多多的优惠券属于“无门槛全场通用”,还有网友晒出了充值话费、购买Q币的截图,有的充值金额甚至高达5万元。“在此事件中,拼多多的业务规则出现了问题,最基本的防薅羊毛手段都没有设置。”陈锋称。 在陈锋看来,目前确实存在专业的“羊毛党”,针对不同平台,这些羊毛党拥有注册账号(涉及手机号、接码平台等)、下游支付渠道、清洗转移渠道等等,而消息灵通与否以及设备的专业程度则决定了这些羊毛党的收入。 “羊毛党”的行为涉嫌犯罪吗? 律师:可能涉嫌盗窃罪,看司法机关定性 事实上,在《拼多多服务协议》7.1禁止行为中已明确,用户使用拼多多平台外挂和/或利用拼多多平台当中的Bug来获得不正当的利益赫然在列。 韩骁表示,用户利用系统漏洞大量领取平台的优惠券并以此获利,可能涉嫌盗窃罪,若获利数额达到相关标准,则有可能需要承担刑事责任。不过他强调,如果是平台的普通客户,并非有意识地通过这一安全漏洞大量领取优惠券牟利,而仅领取了数量较少的优惠券,没有盗窃的主观故意,客观上获利也未达到量刑标准,则并不构成盗窃罪。 对于薅羊毛黑产是否涉嫌违法犯罪,陈锋表示比较难以判断,“一般而言首先必须有公司报案,而此前的实际案例中,最多的情况可能会协商,协商不成按诈骗来办,但最终是否违法或者犯罪还要看公检法机关的定性。” 拼多多在最新的公告中表示,对于遭裹挟的普通消费者,平台主观意愿上不会进行进一步追责,但不支持此类非正常行为。 电子商务研究中心特约研究员、北京盈科(杭州)律师事务所律师方超强认为,黑产灰实际上是一个网络术语,并没有明确的概念和外延;从拼多多事件来看,所谓“黑产灰团队”,有几个事实应当是明确的:1.应当是主动寻找系统漏洞,而非进行系统破坏和篡改;2.主观上知道是漏洞;3.客观上利用漏洞牟利;4.优惠券应当是具有一定价值的财物。从犯罪构成要件看,个人认为涉嫌盗窃罪。 中国政法大学传播法研究中心副主任朱巍则表示,当平台出现优惠券Bug,且原因不明时,分两类情况:第一,若是涉及计算机系统破坏出现Bug的,属于《刑法》破坏计算机信息系统罪,情节特别严重有五年以上的刑期。第二,若是不涉及系统破坏,仅是利用漏洞,这类情形严重的话,实践中涉及盗窃罪、侵害知识产权罪,不严重的话,薅到的券属于不当得利,应予返还。 在此次拼多多事件中,黑灰产团队在刷了足够多的优惠券赚取利润后,出于“法不责众”的心理将优惠券链接公布于众。朱巍认为,除了自己刷,还发布相关信息的人,传播这类信息可能涉及前面罪名的共犯,也可以单独构成传授犯罪方法罪,或构成扰乱市场秩序的行政处罚。 在朱巍看来,少量刷的人,一般不构成犯罪,但其“所得属于不当得利,应及时予以返还”。若是在事实公布后还刷的,就构成盗窃罪。 曹磊表示,对黑灰产的认定从严格意义上讲,应该由相应的监管部门,或者是公安网监来进行认定。当然,平台方如果能够提供充分有效的证据、材料,也将有助于监管、司法、公安等部门进行认定。 对拼多多影响有多大? 目前营销费用惊人,正在招一大拨风控专家 凭借着社交电商全新打法,成立仅三年时间的拼多多已经是国内最成功的独角兽企业之一。摩根士丹利近日发布研报,首次把拼多多纳入研究范围,给予“增持”评级,并把目标股价定为29美元。 拼多多财报显示,去年第三季度,拼多多实现营收33.72亿元,同比增长697%,环比增长24%;去年前三季度共实现74.66亿元营收,同比增长约12倍。但并不乐观的是,拼多多净亏损进一步扩大,去年第三季度亏损10.98亿元,远高于前年同期的2.21亿元;去年前三季度共亏损77.93亿元,前年同期为5.39亿元。 拼多多仍在投入大量的资金拉新,通过冠名综艺节目等方式继续拉动用户增长率和活跃度。财报显示,去年第三季度拼多多的销售及营销费用高达32.3亿元,同比增长655%,主要原因是由于品牌推广活动及线上线下广告及促销活动增加所致。 拼多多狠砸营销费用的另一个重要原因是获客成本在走高。2017年三季度,拼多多单个新用户的获客成本为13元,但去年上半年已经飙升至55元。 值得一提的是,尽管拼多多在去年第三季度投入的研发费用同比增长828%,但其研发费用仅为销售和营销费用的1/10。 新京报记者注意到,拼多多已于1月20日下午在招聘平台发布多个与风控相关的职位招聘,包括风控总监、风控策略/模型专家等。 经过此次事件后,拼多多的研发费用或许将保持高增速。 ■ 延伸 “薅羊毛”黑产已发展出高度分化的产业链 陈锋对记者表示,“薅羊毛”行为指的是新兴消费群体搜集网贷平台、电子商城、银行、实体店等各渠道的优惠促销活动、免费业务之类信息,注册大量“小号”模拟大量正常用户参与活动,从而以相对较低成本甚至零成本换取物质上的实惠,这一群体被称为“羊毛党”。 不仅“薅羊毛”,还刷好评、做水军 新京报记者采访多位专家了解到,目前薅羊毛黑产拥有高度分化的产业链条,主要包括:上游的软件开发人员、脚本开发人员、接码平台等提供可以批量注册账号的工具;中游黑产团队通过购买大量手机SIM卡,再通过这些软件工具和猫池等硬件设备将自己模拟成大量普通用户,恶意注册各平台账号并养号,在“薅羊毛”机会出现时利用大批量的账号赚取收益;下游拥有能够快速将优惠券等平台内资金转移出去的支付以及清洗转移渠道。 有熟悉网络黑产的人士告诉记者,从事薅羊毛黑产所必须的“硬件”包括手机SIM卡、猫池等,软件则包括接码平台、动态IP技术等。“例如为了限制薅羊毛行为,许多平台会记录注册用户的IP,此时上游提供技术支持的黑产能够通过动态IP技术形成比较大的动态IP池,再租售给下游薅羊毛黑产团队使用。” 在他看来,拥有了上游的软硬件设备,薅羊毛黑产就具备了大批量注册平台账号并领取优惠券的条件。而当刷完优惠券后,还需要能够快速变现的渠道。“在此次拼多多事件中,大量黑产选择将优惠券变现为系统自动发货的Q币、手机话费等。目前,存在将Q币和手机话费等合理变现的灰产平台,一些购物网站上也可以买卖优惠券,这都是羊毛党们的变现渠道。” “羊毛党们‘薅羊毛’的本质就是,其能够模仿成大量用户,让发放优惠券的企业识别不出来。但一般来讲,拥有大量账户的黑产团队能做的不只有薅羊毛这一件事,大量账号能够用来刷好评、做水军等,”该人士表示。 打击“薅羊毛”黑产要从源头开始 在采访中,多名专家对新京报记者表示,要打击薅羊毛黑产,最有效的方式是直接打掉其产业链上游的恶意注册工具提供商。 新京报记者了解到,2018年辽宁省公安厅曾就恶意注册上游工具软件发起名为“610”的专案打击。曾经参与该案件的一名网络安全专家称,在“610”专案中,其锁定了头部恶意注册工具软件数款,其中一款名为XXTouch的按键精灵软件能够模拟人操作手机的行为,并拥有可简易化实施改机工具的功能,包括伪装手机信息、GPS信息功能。“简而言之,在不考虑效果的情况下,XXTouch一款软件已经做到恶意注册除IP更改外的所有环节技术提供,在其看似中立的伪装下,实际上为恶意注册黑产配备了全套武器。” 该专家表示,对于打击恶意注册,最好的办法是能够斩断恶意注册黑产链最上游,从生态上挤压恶意注册的生存空间。这包括伪造设备硬件信息实现多开的改机工具,没有改机工具,恶意注册不具备实施性;以及辅助自动化操作的群控和按键精灵软件,没有自动化,恶意注册无法摆脱高昂的人力成本。 但他同时认为,由于恶意注册软件在黑产圈普及,导致恶意注册工作室的开设门槛极低,一次集群行动可以打掉一个地区的一批团伙,但是很可能其他地区就有新的团伙如雨后春笋般冒出。[详情]
拼多多被羊毛党薅走上千万?那些你不知道的黑灰产 一个过期的优惠券漏洞,可能引发国内资损规模最大的黑灰产事件。 1月20日凌晨,有网友称拼多多存在重大Bug,“只需支付4毛钱,就可以充值100元话费”“有大批用户开始薅羊毛,一晚上200多亿都是话费充值”。根据网友晒出的截图,此次拼多多的100元无门槛券全场通用(特殊商品除外),有效期为一年。 拼多多方面表示,当日凌晨有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。 针对该事件,拼多多称目前上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。拼多多平台正配合警方,对涉事订单进行溯源追踪,并最终依据警方的调查结果对相关订单做出依法依规处理。 对于损失高达200亿的说法,拼多多回应称这一数字不实。拼多多称黑灰产团伙大量盗取优惠券,涉案总金额达数千万元,预计本次事件造成的最终实际资损大概率低于千万元。 一个Bug引发的薅羊毛事件? 黑灰产团伙利用漏洞盗取数千万优惠券 1月20日上午9点5分,小南在自己的“闺蜜群”里收到一条链接,闺蜜告诉她,只要点击这个链接,就可以领取拼多多的100元优惠券。 “我以为就是一般的促销或者拉新优惠活动,就下载了拼多多App,选来选去,订了一个一直想买的智能音响。”小南告诉新京报记者,她领取的这个优惠券是“无门槛,一年有效期”。 “这个链接是我的室友在她的朋友群里看到的,然后再转发到我们闺蜜群里。后来看到网上的热搜,我才知道自己的行为可能涉及薅羊毛。”小南表示,“1月20日上午10点20分,我用优惠券购买的商品就已经联系了顺丰快递,连快递单号都告诉我了,但截至现在该商品还处在‘商家正通知快递公司取件’的状态。” 在最新的情况说明中,拼多多表示黑灰产团伙所利用的“优惠券漏洞”盗取的相关优惠券,为拼多多此前与江苏卫视《非诚勿扰》开展合作时,因节目录制需要特殊生成的优惠券类型,仅供现场嘉宾使用。 然而,黑灰产团伙通过非正常途径生成的二维码扫码后获得相关优惠券,该二维码多流传于社交平台相关黑灰产群。通过该二维码,原本每个认证信息的用户可且仅可领取一张无门槛100元优惠券,而非此前网络流传的单个ID可以“无限领取”。 因此,黑灰产团伙通过“养猫池”(用手机卡蓄养大量虚拟账号)等不法手段,实现N张手机黑卡同时作业,批量盗取该种优惠券,并通过手机话费、Q币等虚拟充值的方式,试图在短时间内迅速转移此类不当所得,涉案优惠券总金额达数千万元。 拼多多风控团队负责人表示,黑灰产团伙在盗取金额巨大的优惠券并转移其不当所得后,期望达成“法不责众”的效果,迅速通过网络和社交群将二维码分享出去,诱导一些普通消费者跟风扫码。 拼多多强调,此种类型的优惠券从未在任何时候、以任何方式出现在平台正常的线上促销活动当中,甚至从未有任何线上入口,拼多多亦未曾针对该类型优惠券生成任何二维码。但二维码具体的生成及传播过程,仍待警方调查后公布最终结论。 值得注意的是,职业羊毛党看中充话费和Q币是自动发货,因此将优惠券迅速兑现。对于拼多多而言,能否向三大运营商以及腾讯追讨这一次损失成疑,目前拼多多亦未透露是否有追讨资损的具体方案。 收回优惠券合理吗? 拼多多称是“套券诈骗” 专家:收回优惠券是合理的补救措施 出现Bug被用户“薅羊毛”的现象在国内互联网行业中时有发生。 2018年元旦期间,腾讯视频发起优惠充值活动,但因为活动服务器后台数据出现异常,有部分用户在充值一个月时出现应该支付优惠价18元实际仅被扣费0.2元的状况。当时这一漏洞共引来39万用户参与。 其后腾讯公告称,这是公司的工作失误,公司将这些异常订单全部兑现,且不再扣费。最终,腾讯为这个Bug付出超过5000万元的代价,但同时赢得网友的好评。 但拼多多并未“顺应民意”自掏腰包。在发现漏洞后,拼多多在当日9时左右紧急将所有优惠券的领取方式下架,同时取消了用户已领取但未使用的优惠券,记者留意到,当时拼多多还对App进行了优化更新。为了补偿用户,拼多多向受影响用户发放5元无门槛优惠券,有效期为50年。 拼多多表示,此次事件与其他公司一系列因Bug所致资损事件存在本质差别,这一次是“套券诈骗”的网络诈骗案件。“如按照网络中前者被以‘ATM机误吐钞’现象做类比,后者则相当于非法团伙撬开ATM机后实施盗窃。” 电子商务研究中心主任曹磊认为,从法律责任认定和用户权益保护角度出发,如果是平台主动推出的活动,那么应按照官方说明来兑现承诺,也就相当于在线跟用户签订协议,平台当然要执行。“但拼多多相关声明已经显示,是通过一个过期的优惠券漏洞盗取了优惠券。根据《合同法》相关规定,拼多多取消或收回优惠券是不需要承担法律责任的。” 他表示,如果此次拼多多出现优惠券漏洞是黑产羊毛党恶意行为,这类交易属于存在“重大误解”订立的合同,“(拼多多)是可以要求撤销的。” 北京康达律师事务所律师韩骁亦认为,拼多多收回已经领取但还没有使用的优惠券,这一做法并不会和刚出台的《电商法》相冲突。此次事件中,拼多多采用收回已领取但未使用的优惠券这一方式来应对,属于合理的补救措施。 另据记者了解,当日11时左右,拼多多的工作人员已经向部分商家发出通知,凡是已使用100元无门槛券的订单不允许发货。 根据《电商法》第四十九条规定,电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择该商品或者服务并提交订单成功,合同成立。当事人另有约定的,从其约定。电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立;格式条款等含有该内容的,其内容无效。 曹磊表示,拼多多这一做法与《电商法》不冲突。“恶意利用系统漏洞获取的优惠券,不能有效地折抵付款中的相应付款义务,所以应该视为未完成付款义务,不受电商法第四十九条第2款的约束,商家可以不发货。” 中国政法大学知识产权中心特约研究员赵占领则告诉记者,如果用户已经使用优惠券购买拼多多上第三方商家的商品,用户和商家之间的合同已经成立,拼多多可以去追究用户的责任,但不能阻止商家发货。 为何会发生“薅羊毛”事件? 拼多多称事件发生时正值平台大促 不涉及数据安全问题 关于风控的问题,拼多多表示公司一直有风控体系建设,而且本次事件不涉及任何数据安全问题,平台消费者原本正常领取的优惠券使用不会受到影响。为进一步加强“特殊优惠券”相关风控体系,拼多多透露公司已成立技术专组。 对于拼多多“被薅羊毛”一事,某反诈骗安全团队专家陈锋(化名)表示,有许多手段可以防止平台被恶意“薅羊毛”,包括限制优惠券的总数以及优惠券的应用场景,“比如设置最多10万张券,只能用于满200元的实物订单,再加上最基础的防薅羊毛策略,就能保证不出大问题”。 对于为何风控系统没有监测到异常情况,拼多多回应称事件发生时正值平台大促,其间有大批量平台正常发放的优惠券被消耗。直至当日上午9时,遭盗取优惠券和正常优惠券的总和突破平台预设阈值,系统才监控到异常并自动报警后,拼多多在第一时间修复相关漏洞。 根据网友截图,此次事件中拼多多的优惠券属于“无门槛全场通用”,还有网友晒出了充值话费、购买Q币的截图,有的充值金额甚至高达5万元。“在此事件中,拼多多的业务规则出现了问题,最基本的防薅羊毛手段都没有设置。”陈锋称。 在陈锋看来,目前确实存在专业的“羊毛党”,针对不同平台,这些羊毛党拥有注册账号(涉及手机号、接码平台等)、下游支付渠道、清洗转移渠道等等,而消息灵通与否以及设备的专业程度则决定了这些羊毛党的收入。 羊毛党的行为涉嫌犯罪吗? 律师:可能涉嫌盗窃罪,看司法机关定性 事实上,在《拼多多服务协议》7.1禁止行为中已明确,用户使用拼多多平台外挂和/或利用拼多多平台当中的Bug来获得不正当的利益赫然在列。 韩骁表示,用户利用系统漏洞大量领取平台的优惠券并以此获利,可能涉嫌盗窃罪,若获利数额达到相关标准,则有可能需要承担刑事责任。不过他强调,如果是平台的普通客户,并非有意识地通过这一安全漏洞大量领取优惠券牟利,而仅领取了数量较少的优惠券,没有盗窃的主观故意,客观上获利也未达到量刑标准,则并不构成盗窃罪。 对于薅羊毛黑产是否涉嫌违法犯罪,陈锋表示比较难以判断,“一般而言首先必须有公司报案,而此前的实际案例中,最多的情况可能会协商,协商不成按诈骗来办,但最终是否违法或者犯罪还要看公检法机关的定性。” 拼多多在最新的公告中表示,对于遭裹挟的普通消费者,平台主观意愿上不会进行进一步追责,但不支持此类非正常行为。 电子商务研究中心特约研究员、北京盈科(杭州)律师事务所律师方超强认为,黑产灰实际上是一个网络术语,并没有明确的概念和外延;从拼多多事件来看,所谓“黑产灰团队”,有几个事实应当是明确的:1.应当是主动寻找系统漏洞,而非进行系统破坏和篡改;2.主观上知道是漏洞;3.客观上利用漏洞牟利;4.优惠券应当是具有一定价值的财物。从犯罪构成要件看,个人认为涉嫌盗窃罪。 中国政法大学传播法研究中心副主任朱巍则表示,当平台出现优惠券Bug,且原因不明时,分两类情况:第一,若是涉及计算机系统破坏出现Bug的,属于《刑法》破坏计算机信息系统罪,情节特别严重有五年以上的刑期。第二,若是不涉及系统破坏,仅是利用漏洞,这类情形严重的话,实践中涉及盗窃罪、侵害知识产权罪,不严重的话,薅到的券属于不当得利,应予返还。 在此次拼多多事件中,黑灰产团队在刷了足够多的优惠券赚取利润后,出于“法不责众”的心理将优惠券链接公布于众。朱巍认为,除了自己刷,还发布相关信息的人,传播这类信息可能涉及前面罪名的共犯,也可以单独构成传授犯罪方法罪,或构成扰乱市场秩序的行政处罚。 在朱巍看来,少量刷的人,一般不构成犯罪,但其“所得属于不当得利,应及时予以返还”。若是在事实公布后还刷的,就构成盗窃罪。 曹磊表示,对黑灰产的认定从严格意义上讲,应该由相应的监管部门,或者是公安网监来进行认定。当然,平台方如果能够提供充分有效的证据、材料,也将有助于监管、司法、公安等部门进行认定。 对拼多多影响有多大? 目前营销费用惊人 正在招一大拨风控专家 凭借着社交电商全新打法,成立仅三年时间的拼多多已经是国内最成功的独角兽企业之一。摩根士丹利近日发布研报,首次把拼多多纳入研究范围,给予“增持”评级,并把目标股价定为29美元。 拼多多财报显示,去年第三季度,拼多多实现营收33.72亿元,同比增长697%,环比增长24%;去年前三季度共实现74.66亿元营收,同比增长约12倍。但并不乐观的是,拼多多净亏损进一步扩大,去年第三季度亏损10.98亿元,远高于前年同期的2.21亿元;去年前三季度共亏损77.93亿元,前年同期为5.39亿元。 拼多多仍在投入大量的资金拉新,通过冠名综艺节目等方式继续拉动用户增长率和活跃度。财报显示,去年第三季度拼多多的销售及营销费用高达32.3亿元,同比增长655%,主要原因是由于品牌推广活动及线上线下广告及促销活动增加所致。 拼多多狠砸营销费用的另一个重要原因是获客成本在走高。2017年三季度,拼多多单个新用户的获客成本为13元,但去年上半年已经飙升至55元。 值得一提的是,尽管拼多多在去年第三季度投入的研发费用同比增长828%,但其研发费用仅为销售和营销费用的1/10。 新京报记者注意到,拼多多已于1月20日下午在招聘平台发布多个与风控相关的职位,包括风控总监、风控策略/模型专家等。 经过此次事件后,拼多多的研发费用或许将保持高增速。 薅羊毛黑产已发展出高度分化的产业链 陈锋对记者表示,“薅羊毛”行为指的是新兴消费群体搜集网贷平台、电子商城、银行、实体店等各渠道的优惠促销活动、免费业务之类信息,注册大量“小号”模拟大量正常用户参与活动,从而以相对较低成本甚至零成本换取物质上的实惠,这一群体被称为“羊毛党”。 不仅薅羊毛,还刷好评、做水军 新京报记者采访多位专家了解到,目前薅羊毛黑产拥有高度分化的产业链条,主要包括:上游的软件开发人员、脚本开发人员、接码平台等提供可以批量注册账号的工具;中游黑产团队通过购买大量手机SIM卡,再通过这些软件工具和猫池等硬件设备将自己模拟成大量普通用户,恶意注册各平台账号并养号,在“薅羊毛”机会出现时利用大批量的账号赚取收益;下游拥有能够快速将优惠券等平台内资金转移出去的支付以及清洗转移渠道。 有熟悉网络黑产的人士告诉记者,从事薅羊毛黑产所必须的“硬件”包括手机SIM卡、猫池等,软件则包括接码平台、动态IP技术等。“例如为了限制薅羊毛行为,许多平台会记录注册用户的IP,此时上游提供技术支持的黑产能够通过动态IP技术形成比较大的动态IP池,再租售给下游薅羊毛黑产团队使用。” 在他看来,拥有了上游的软硬件设备,薅羊毛黑产就具备了大批量注册平台账号并领取优惠券的条件。而当刷完优惠券后,还需要能够快速变现的渠道。“在此次拼多多事件中,大量黑产选择将优惠券变现为系统自动发货的Q币、手机话费等。目前,存在将Q币和手机话费等合理变现的灰产平台,一些购物网站上也可以买卖优惠券,这都是羊毛党们的变现渠道。” “羊毛党们‘薅羊毛’的本质就是,其能够模仿成大量用户,让发放优惠券的企业识别不出来。但一般来讲,拥有大量账户的黑产团队能做的不只有薅羊毛这一件事,大量账号能够用来刷好评、做水军等,”该人士表示。 打击薅羊毛黑产要从源头开始 在采访中,多名专家对新京报记者表示,要打击薅羊毛黑产,最有效的方式是直接打掉其产业链上游的恶意注册工具提供商。 新京报记者了解到,辽宁省公安厅曾就恶意注册上游工具软件发起名为“610”的专案打击。曾经参与该案件的一名网络安全专家称,在专案中,其锁定了头部恶意注册工具软件数款,其中一款名为XXTouch的按键精灵软件能够模拟人操作手机的行为,并拥有可简易化实施改机工具的功能,包括伪装手机信息、GPS信息功能。“简而言之,在不考虑效果的情况下,XXTouch一款软件已经做到恶意注册除IP更改外的所有环节技术提供,在其看似中立的伪装下,实际上为恶意注册黑产配备了全套武器。” 该专家表示,对于打击恶意注册,最好的办法是能够斩断恶意注册黑产链最上游,从生态上挤压恶意注册的生存空间。这包括伪造设备硬件信息实现多开的改机工具,没有改机工具,恶意注册不具备实施性;以及辅助自动化操作的群控和按键精灵软件,没有自动化,恶意注册无法摆脱高昂的人力成本。 但他同时认为,由于恶意注册软件在黑产圈普及,导致恶意注册工作室的开设门槛极低,一次集群行动可以打掉一个地区的一批团伙,但是很可能其他地区马上就有新的团伙如雨后春笋般冒出。[详情]
拼多多的大bug非个案 但薅羊毛也需谨慎 [去年8月,网上传出只要在某OTA国际版网站上购买机票时选“土耳其里拉”付款,付款后再去某航App退票,可以获得约17%的收益。] 拼多多也中枪了。 1月20日凌晨,电商平台拼多多被曝出现重大bug(漏洞),用户可领100元无门槛优惠券,这一漏洞引来了大批用户“薅羊毛”。 拼多多并不是唯一被薅羊毛的电商平台。记得去年11月,多家OTA上就曾出现大量外航bug票,中日往返含税不到出租车起步价,洲际往返含税还没你从机场叫车回家贵。 随后,一家代理商发出公告书,表示当晚共产生了逾200单bug机票订单,损失差额预计超过500万元。由于自身无力承担巨额损失,因此将联系购票人取消订单。 从公告书中得知,当晚的bug机票事件,是由于银行外汇牌价系统错误引发。简单地说,银行系统出错,导致前一天晚上的美元一度“贬”成了日元。 其实这也不是第一次发生因为汇率导致的机票异常事件。去年8月,土耳其里拉暴跌,网上传出只要在某OTA国际版网站上购买机票的时候,选“土耳其里拉”付款,付款完毕之后再去某航App退票,可以获得约17%的收益。 该事件过后,该OTA开始使用双外汇牌价系统,同时加强了自身系统对异常价格的监控。 实际上,每一次发生bug机票事件,客观上也是在推动当事方对系统做出改进。 而在客票系统不断改进的同时,却也催生出通过软件监测票价异常,甚至恶意囤购大量bug机票、有偿出售bug机票信息的群体。 在最近几年的bug机票事件中,国内航司、OTA一般会照顾到旅客的合理出行需求,对于出行受到影响的旅客,国内航司或OTA在取消订单时会给予购票者一定的补偿。 但也有人盯上了航司、OTA的善意。在2016年新航bug票事件中,就有人恶意购票并企图向售出bug票的平台索要高额补偿。 需要指出的是,在国际范围内,这样的“补偿”并不是一种惯例,境内外的航司、OTA都有不给任何补偿的案例。 笔者特意为此咨询了几位法律界人士,如果机票出票了,航司/代理人与旅客的运输合同就正式建立了,擅自解除或者更改合同,属于违约,须赔偿。这时候,旅客可以举证损失,比如可主张按照重新购买的机票差价赔偿,或者已经支出的不可退的酒店预订等损失。 不过,《中华人民共和国合同法》中也有这么一条规定,称如果因重大误解而订立的合同,当事人一方有权请求法院变更或者撤销。不过,这里的“重大误解”是要错得多离谱,是否达到了常人可判断的程度,还需要具体事件具体分析,最终由法官判决。 所以,每次薅羊毛的过程,也是跌宕起伏的斗争史。 发生bug票事件,一般旅客基于个人需求购买还可以理解,但如果是恶意囤票,不仅可能触发平台的报警机制,导致订单被冻结,更有违道德,也有被列入黑名单的风险,损人不利己。 羊毛虽好,可也别把羊薅死了。[详情]
黑产“薅羊毛”就是犯罪 观察家 黑产团队并不是什么草莽英雄,也不是什么草根代表。打击黑产和羊毛党,应当成为大数据时代最重要的共识。 该还的总归要还。一大早,前天参与拼多多薅羊毛狂欢的一些用户发现,拼多多平台强制取消了部分订单,也有充值话费的网友发现,自己的话费被运营商强制退回。但没想到的是,如今薅羊毛也可以理直气壮地站在道德高地。一些用户在接受采访时义愤填膺,认为自己只是领了个优惠券,平台不该强制取消,不少人认定平台的错不应该让用户承担损失。 尊重他人财产权,是基础社会规则的一部分,而薅羊毛和网络黑产,多数情况下做的事,都是数据时代的欺诈和盗窃。 在拼多多提供的详细声明中,能清晰看到羊毛党是如何侵占企业利益的。声明显示,羊毛党们所利用的优惠券,是拼多多与某电视节目合作中临时生成的优惠券,并且,从未公开出现在任何一次促销活动之中,也没有开放过入口。而黑产团队通过非正常途径发现漏洞并生成二维码,在公开范围内进行了传播。 这已经是很明显的技术犯罪,与传统意义上的“薅羊毛”完全是两码事。通俗来说,这等于是一个专业团队发现了他人门锁上的漏洞,攻破门锁进行盗窃,并且,为了免除责任,干脆将大门敞开,让所有人都进来搬点东西回家,以制造一种“公开发放优惠券”的假象,来免除盗窃责任。 因此,用户抱怨平台不该收回优惠券完全没有任何道理可言。不管是遇到他人家门洞开,还是高速路遇到货车翻车,用户都没有理由拿走原本属于平台的东西。这是对他人财产权的基本尊重,失主也理所应当可以采取各种手段索回丢失资产。 对于像拼多多这样的新晋电商巨头,此次攻击事件暴露了其风控体系的基础漏洞。但更值得反思的是,一起本质上是严重的盗窃公司财务案件,为何在公共舆论里陷入了一种无罪化的狂欢? 不能因为技术盗窃的便利和无障碍,围观者就轻松谅解他人,宽容自己。 “羊毛党”三个字刚见诸报端时,的确曾享受过一阵子道德豁免的特权。当时,互联网公司因为风控体系和制度设计问题,经常出现一些能够被用户利用的打折漏洞,继而,羊毛党也在很多人心中,有了一种“个体通过精明算计与商业巨头讨价还价”的假象。但随着技术和风控手段升级,普通人意义上的“薅羊毛”空间几乎不存在了。羊毛党成为一个专业的犯罪团伙,他们掌握大量的手机黑卡,利用互联网公司的技术漏洞疯狂获利。事实上,现在有不少羊毛党,就是利用技术漏洞进行高科技犯罪、游走在欺诈和盗窃边缘的专业团伙。曾有专业机构做过统计,国内网络黑产上下游从业者超过160万人,每年产值超过1000亿元,从传统的银行、保险公司再到电商平台,都成为他们攻击的对象。 这是对商业环境和共识明目张胆的侵犯。公众应当认识到,黑产团队并不是什么草莽英雄,也不是什么草根代表,他们既侵犯了企业的利益,也剥夺了用户红利,并最终破坏了企业与用户之间的信任连结。而打击黑产和羊毛党,也应当成为大数据时代最重要的共识。 胡涵(媒体人)[详情]
薅了拼多多“羊毛”几千万元要还吗? 律师说:不当得利,应该退还 来源:每日经济新闻 每经记者 易望奇 易启江 和许多“羊毛党”一样,网友小A早晨利用拼多多bug,薅走拼多多“羊毛”,利用领取的100元无门槛优惠券购买了商品。但看到拼多多报警的消息后,忐忑不安之际,却已被拼多多单方面关闭订单(实物订单),退回了已支付金额。拼多多还公告称,平台消费者原本正常领取的优惠券不受影响。 而你使用优惠券充值了话费和购买了Q币的订单,拼多多将怎么处理?是否会联手腾讯冻结你的Q币余额?毕竟腾讯控股是拼多多第二大股东。 事件还原:“羊毛党”利用bug充话费 1月20日凌晨,拼多多被曝出现巨大漏洞,用户可领100元无门槛券,有大批用户凌晨上线“薅羊毛”,利用无门槛券充值话费、买Q币,充100元话费只需要0.44元。 网络截图显示,有人充的话费已够用十几年,还有人晒图表示已买了90多万元Q币。网络疯传:上述时间,拼多多被“羊毛党”利用bug薅走200亿元。 市值260多亿美元的拼多多被薅走200亿元人民币是什么概念?拼多多2018年1~3季度累计营业收入才75亿元人民币,2017年全年才17亿元人民币。200亿元比2017年营业收入的10倍还要多。有网友因此担心,没有被“假货漩涡”洗白的拼多多,会不会因这次bug而一夜倒闭。 但从日前拼拼多公告来看,其表示被盗取了数千万元平台优惠券。 拼多多同时公告称,平台消费者原本正常领取的优惠券不受影响: 1月20日晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,同时已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。目前平台正对涉事订单进行溯源追踪,并将根据警方调查结果对相关订单作出最终处理。 平台消费者原本正常领取的优惠券不受影响,感谢您的理解。是200亿元还是数千万,大众暂时无法得知。据《每日经济新闻》记者观察,有个店铺显示,已经成交了43万单,价值4300万元。是真的出现漏洞被“薅羊毛”,还是进行公关营销,周一看股价就能见分晓。 “羊毛党”反击:请拼多多履行合同义务 但是,许多参与“薅羊毛”的网友并不认可拼多多“打击网络黑灰产团伙”的观点,纷纷在拼多多官微留言质疑拼多多搞虚假营销。 对拼多多单方面关闭订单拒绝发货的行为,更有网友表示要索赔—— 本人于2019年1月20日上午,通过朋友推荐,网络领取拼多多优惠券100元,使用限制是满100即可使用,购买了各类商品,后拼多多客服联系本人,告知本人此订单的优惠券无效,不能使用,不能发货。本人提出如下意见及索赔: 1、此优惠券是本人在网上正常领取的,并不是通过网络漏洞修改数据非法获取的; 2、拼多多自身技术问题,应该及时补救并且追究当事技术部门和非法黑客的责任,而不是把损失转嫁到消费者身上。 3、优惠券本身能使用,消费者合法地使用了,该网络购买合同已生效。 4、拼多多在未经过本人同意的情况下,擅自更改优惠券使用规则并拒绝发货,违反了《中华人民共和国合同法》相关规定。 本人要求拼多多平台应按合同履行自己的义务,如不能履行,按《中华人民共和国消费者权益保护法》相关规定进行赔偿。 “羊毛党”对与错律师及警方各持己见 中国银行法学研究会理事肖飒律师:普通用户应返还不当得利,拼多多可向职业”羊毛党“索赔 1.对拼多多本身而言,其APP后端出现bug,以致产生巨额亏损,拼多多有权向利用系统漏洞诈骗优惠券的职业“羊毛党”索赔; 2.普通用户在看到优惠消息之后,进行了相应的虚拟交易等,普通用户不具有识别该类职业诈骗的能力,其对平台亏损不需要承担任何责任。若普通用户知道“薅羊毛”时是利用过期的优惠券来进行现期产品的购买,则有义务返还不当得利; 3.若有职业“羊毛党”利用拼多多平台系统漏洞进行虚假的优惠信息宣传,致使平台受损,一方面涉嫌侵入计算机信息系统罪,另一方面利用过期的优惠券来购买现期产品涉嫌盗窃罪等。 四川民科律师事务所主任李孟松:有效合同应受法律保护 一、针对此次事件,首先要看“羊毛党”与拼多多平台之间合同是否成立。 《合同法》的规定:“承诺生效时合同成立”。《电子商务法》第四十九条规定:“电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择商品或者服务并提交订单成功,合同成立。当事人另有约定的,从其约定。电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立,格式条款等含有该内容的,其内容无效。” 在本次事件中,用户根据拼多多的优惠活动,选择下单并成功提交订单,双方之间的合同关系已经成立。 二、其次,合同是否有效。 根据《合同法》的规定,合同无效的几种情形:(1)一方以欺诈、胁迫的手段订立合同,损害国家利益;(2)恶意串通,损害国家、集体或者第三人利益;(3)以合法形式掩盖非法目的;(4)损害社会公共利益;(5)违反法律、行政法规的强制性规定。也就是说,若不存在这些情形,那么合同便是有效的,应该受到法律的保护。 三、关于格式条款是否有效。《拼多多服务协议》的用户守则“禁止行为第五条”:使用拼多多平台外挂或利用拼多多平台当中的bug来获得不正当的利益。 该条款属于格式条款,根据《合同法》的规定:提供格式条款的一方免除自身的责任,加重对方的责任、排除对方的主要权利的,则该条款无效;除此之外,提供格式条款的一方还必须充分履行提示和说明义务。 《消费者权益保护法》规定:经营者不得以格式条款、通知、声明、店堂告示等方式,作出排除或者限制消费者权利、减轻或者免除经营者责任、加重消费者责任等对消费者不公平、不合理的规定,不得利用格式条款并借助技术手段强制交易。 因此,拼多多所提供的格式条款是否有效,需要结合其是否尽到了提示说明的义务、是否免除自身责任、加重了对方责任等情况具体判断。 四、是否涉及犯罪。 本次事件,应区别对待消费和盈利。一些用户通过拼多多bug为自己账户充值,对此涉及犯罪的可能性很小;但若想通过次bug来盈利,那么便有可能涉及到犯罪了。 警方:拼多多被“薅羊毛”或是涉嫌欺诈罪的刑事问题 针对此次事件,有报道称,上海公安部门表示,如果真的是有黑产“羊毛党”恶意搞拼多多,那么本次事件是可以被当成欺诈罪处理的刑事问题。 东航、腾讯视频遇同类bug事后认可有效 2018年11月17日凌晨,东航系统被爆出现bug,很多航线的机票折扣极大,部分机票价格仅为50元,多条国内航线头等舱商务舱往返机票,最低只需90元! 一时间,东航bug成了微博热搜。面对这一突发性事件,东方航空是如何应对的呢?人民日报微博发表了题为“东航这波被网友称为教科书式的公关究竟怎么回事”的微博: 与拼多多的反应不同,东航在事后发布通报称,在系统维护时售出的所有机票(支付成功并已出票)全部有效,旅客可正常使用: 无独有偶,2017年12月31日,腾讯视频会员充值出现异常,原本18元的九折充值活动,仅扣费0.2元。财大气粗的腾讯不仅对已充值的用户全部兑现,而且退回了用户被扣的0.2元。 经统计,在2017年12月31日服务器系统异常期间,因0.2元漏洞所产生的订单共计287万笔,涉及39万名用户。腾讯视频将按照上述用户的实际充值时长来完成每一笔订单。如果按每笔订单平均充值一年会员来算,损失超过5个亿。 品牌形象与钱腾讯与拼多多将作何选择? 有网民认为东航、腾讯视频所谓的bug其实是搞的公关营销活动。根据腾讯公布的数据来,如果说是营销活动,从其投入的成本(按损失5亿元会员充值费计算)及获得的品牌效应来看,倒还说得过去。 但拼多多这次是营销吗?拼多多具体被薅走了多少羊毛,公众暂时不得而知,但周一股价可见分晓:如果股价大跌,市值267亿美元,哪怕跌10%,市值将蒸发26亿多美元,这样的营销就太昂贵了。 网上流传的拼多多公关部门与用户的对话显示,拼多多将联手腾讯收回利用优惠券购买了Q币的QQ号。但拼多多在官微进行了辟谣。 如果拼多多赖账,联手腾讯追回已售出的Q币金额,可能品牌损失更大,因为除了职业“羊毛党”,还有许多普通用户也参与了活动。腾讯为了品牌形象,连自己的视频损失5亿充值费用都认了,这一次,腾讯将作何选择?毕竟腾讯是拼多多第二大股东,腾讯控股持有拼多多7.86亿股,占比17.8%。在品牌与钱之间,腾讯又将作何选择?[详情]
“羊毛党”别想跑!拿了拼多多几千万的优惠券,都得还回去 每日经济新闻 1月20日凌晨,拼多多平台出现了巨大漏洞,用户可以随意领取“100元无门槛优惠券”,引来大量网友凌晨上线“薅羊毛”。甚至有网友一晚上用优惠券充值话费百余次,每次为100元,仅花0.4元。 昨天中午,拼多多发布声明表示,被盗取了数千万元平台优惠券。拼多多将这次事件的矛头指向了“黑灰产团伙”,并表示已经报警。 虽然平台漏洞昨天一早就被封上,但这次拼多多损失惨重。 今天,拼多多再次发表了一份情况说明,表示将坚决打击黑灰产团伙。 那么,对于那些“占了便宜”的大量普通用户,需不需要进行偿还呢? 拼多多:优惠券事件为网络诈骗案件 2018年11月17日凌晨,东方航空官网和App在进行价格维护时出现参数异常,导致部分网络销售平台出现异常票价,多条国内航线售价低至正常价的一折以下,有的经济舱售价仅仅几十元,而头等舱/公务舱也仅售几百元。随后,航空在官方微博中发布声明称,11月17日凌晨东航在系统维护时售岀的所有机票(支付成功并已出票)全部有效。 但是,拼多多认为,昨天凌晨发生的“优惠券漏洞”事件和东航的异常票价不同。前者为平台错误操作、非正常发放所致的民事问题,此次拼多多优惠券事件则为“套券诈骗”的网络诈骗案件。 首先,拼多多被盗取的相关优惠券,是拼多多此前与江苏卫视《非诚勿扰》开展合作时,因节目录制需要特殊生成的优惠券类型,仅供现场嘉宾使用。除此之外,此种类型优惠券,从未在任何时候、以任何方式出现在平台正常的线上促销活动当中,甚至从未有任何线上入口。 其次,该事件中的相关优惠券,是黑灰产团伙通过非正常途径生成的二维码扫码后获得,该二维码多流传于社交平台相关黑灰产群。拼多多从未针对该类型优惠券生成任何二维码,更从未在APP及小程序中展示过此类优惠券相关信息及二维码。不过,该二维码具体的生成及传播过程,正待警方调查后获得最终结论。 通过该非正常途径生成的二维码,原本每个认证信息的用户可以且仅可领取一张无门槛100元优惠券,而非此前网络流传的单个ID可以“无限领取”。因此,有黑灰产团伙通过“养猫池”(用手机卡蓄养大量虚拟账号)等不法手段,实现N张手机黑卡同时作业,批量盗取该种优惠券,并通过手机话费、Q币等虚拟充值的方式,试图在短时间内迅速转移此类不当所得,涉案优惠券总金额达数千万元。 优惠券将被追回 那么,难道所有钻了空子、用优惠券购物的用户会按黑灰产团伙对待吗? 拼多多风控团队负责人表示,黑灰产团伙在盗取金额巨大的优惠券并转移其不当所得后,期望达成“法不责众”的效果,迅速通过网络和社交群将二维码分享出去,诱导一些普通消费者跟风扫码,以希望达到逃避刑责、混淆视听的结果。 这类似于犯罪团伙撬开家门实施盗窃之后自己也有些害怕,打开大门招呼更多普通路人进入受害者家中搬取。 拼多多强调,本次事件不涉及任何数据安全问题,平台消费者原本正常领取的优惠券使用不会受到影响。 那么,对于那些“搭便车”的普通用户,拼多多是怎样的态度,需要他们还钱吗? 目前上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。拼多多平台正配合警方,对涉事订单进行溯源追踪,并最终依据警方的调查结果对相关订单做出依法依规处理。 今天,拼多多公关部相关负责人向记者解释称,“对涉事订单进行批量冻结”意味着,还没有用的优惠券,已经被警方冻结了,不能再继续使用。 对于遭裹挟的普通消费者,平台主观意愿上不会进行进一步追责,但拼多多不支持此类非正常行为。 不过,对于已经用出去的优惠券,已经有用户遇到了被要求退货的情况,用户花的钱也被退了回来。有用户告诉记者:“我买的都是实物,系统就直接关闭了订单,退回了(优惠券之外)多付的钱。” 拼多多公关部相关负责人,这不是平台的行为,是警方的行为。警方为了调查,对案件定性,需要追回已经使用的优惠券。这里分两种情况:不当得利要被追究法律责任;而对于不知情者的普通用户,只追回,不追究法律责任。 用户收到的系统退款通知,也是警方根据程序进行追回。 用户买的是实物,退款退货好办,但如果是话费、Q币这类虚拟商品怎么追回呢? 中国移动、中国联通新闻中心相关人士均向记者表示,如果有需要,肯定会配合警方的调查工作。而中国移动相关人士表示,拼多多与中国移动没有直接合作,目前也没有提出这个需求。如果需要,在法律框架内,中国移动会配合警方的调查工作。但是关于追回问题,要看法律如何判定,权威机构需要出具相关内容。因为在中国移动看来,用户的充值流程都是合理合法的。 IT与知识产权律师、中国互联网协会信用评价中心法律顾问赵占领认为,如果是黑灰产团伙利用拼多多的漏洞“薅羊毛”,则主要涉及到非法侵入计算机信息系统的刑事犯罪。如果是普通用户发现拼多多的漏洞,然后去领取优惠券并且去使用,这种行为在法律上来讲,属于不当得利。 赵占领说,虽然普通用户的行为并没有触犯刑法,但这种行为已经违反了用户和拼多多平台之间的用户协议,在法律上,拼多多可以要求用户返还优惠券带来的相关利益。[详情]
拼多多的大bug非个案,但薅羊毛也需谨慎 拼多多也中枪了。 1月20日凌晨,电商平台拼多多被曝出现重大BUG(漏洞),用户可领100元无门槛优惠券,这一漏洞引来了大批用户“薅羊毛”。 拼多多并不是唯一被薅羊毛的电商平台。记得去年11月,多家OTA上就曾出现大量外航bug票,中日往返含税不到出租车起步价,洲际往返含税还没你从机场叫车回家贵。 随后,一家代理商发出公告书,表示当晚共产生了逾200单bug机票订单,损失差额预计超过500万元。由于自身无力承担巨额损失,因此将联系购票人取消订单。 从公告书中得知,当晚的bug机票事件,是由于银行外汇牌价系统错误引发。简单地说,银行系统出错,导致前一天晚上的美元一度“贬”成了日元。 其实这也不是第一次发生因为汇率导致的机票异常事件。去年8月,土耳其里拉暴跌,网上传出只要在某OTA国际版网站上购买机票的时候,选“土耳其里拉”付款,付款完毕之后再去某航App退票,可以获得约17%的收益。 该事件过后,该OTA开始使用双外汇牌价系统,同时加强了自身系统对异常价格的监控。 实际上,每一次发生bug机票事件,客观上也是在推动当事方对系统做出改进。 而在客票系统不断改进的同时,却也催生出通过软件监测票价异常,甚至恶意囤购大量bug机票、有偿出售bug机票信息的群体。 在最近几年的bug机票事件中,国内航司、OTA一般会照顾到旅客的合理出行需求,对于出行受到影响的旅客,国内航司或OTA在取消订单时会给予购票者一定的补偿。 但也有人盯上了航司、OTA的善意。在2016年新航bug票事件中,就有人恶意购票并企图向售出bug票的平台索要高额补偿。 需要指出的是,在国际范围内,这样的“补偿”并不是一种惯例,境内外的航司、OTA都有不给任何补偿的案例。 笔者特意为此咨询了几位法律界人士,如果机票出票了,航司/代理人与旅客的运输合同就正式建立了,擅自解除或者更改合同,属于违约,须赔偿。这时候,旅客可以举证损失,比如可主张按照重新购买的机票差价赔偿,或者已经支出的不可退的酒店预订等损失。 不过,《中华人民共和国合同法》中也有这么一条规定,称如果因重大误解而订立的合同,当事人一方有权请求法院变更或者撤销。不过,这里的“重大误解”是要错得多离谱,是否达到了常人可判断的程度,还需要具体事件具体分析,最终由法官判决。 所以,每次薅羊毛的过程,也是跌宕起伏的斗争史。 发生bug票事件,一般旅客基于个人需求购买还可以理解,但如果是恶意囤票,不仅可能触发平台的报警机制,导致订单被冻结,更有违道德,也有被列入黑名单的风险,损人不利己。 羊毛虽好,可也别把羊薅死了。 [详情]
拼多多损失千万背后的薅羊毛江湖 “羊毛党”已经成为不少互联网公司眼里打不死的蟑螂,隐秘、暴利、有组织的地下薅羊毛产业是如何运作的?为什么互联网公司对此束手无策? 《财经》记者 刘以秦/文 余乐/编辑 1月20日凌晨,多个“薅羊毛行业”QQ群里掀起狂欢。凌晨1点左右,有网友发现拼多多平台出现Bug,只需花费4毛钱就可以领取一张100元的无门槛优惠券,这一消息瞬间在薅羊毛行业内流传开来。 凌晨5点左右,在羊毛党内部已经彻底发酵的“抢券行动”,被发布到了一些公开论坛上,引发第二轮的抢券高潮。 有传言称,拼多多损失高达200亿人民币,20日中午,拼多多发布公告回应称,“有黑产团队通过一个过期优惠券漏洞获取数千万元平台优惠券,进行不正当牟利。”并表示,通过后续的追回处理,实际损失大概率低于千万元,并不存在200亿的损失。 成立于2015年的移动电商平台拼多多,发展迅猛,2018年7月登陆美股,市值达到240亿美元,截止2019年1月18日美股收盘,拼多多市值为276.84亿美元。 据悉,此次被大量领取的优惠券,来自于拼多多此前与江苏卫视《非成勿扰》节目合作时,为录制现场观众提供的特殊优惠券,并未出现在拼多多任何线上入口中。拼多多方面表示,黑产团伙通过非正常途径生成的二维码来扫码获取优惠券。 由于该优惠券一个账户仅能领取一次,羊毛党们通过大量的虚拟手机账号同时作业,批量领取,这也是导致拼多多在仅仅数小时内遭受大额损失的主要原因。 20日上午9点,拼多多系统监控到异常并自动报警,随后修复漏洞,并向公安机关报案。拼多多在对外声明中提到,目前上海警方已经以“网络诈骗”罪名立案,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。 薅羊毛产业由来已久,随着互联网行业的兴起,补贴、优惠等活动成为常态,这个地下产业的发展得到了进一步刺激。互联网公司推出各类优惠活动的目的在于获取新用户,增加用户粘性,提高业务量,当这些优惠变成羊毛党牟利的工具时,互联网公司损失严重。 此次薅羊毛事件对于拼多多来说,损失的并不只是账面资金,事件发生8小时后才发现异常,也暴露了公司安全流程把控的漏洞,而在这背后,是互联网公司与黑产行业的长期矛盾。 隐秘的薅羊毛产业 薅羊毛属于地下黑产的一部分,“羊毛党”们主要通过QQ群传播消息。一位曾经从事这一行业的人士告诉《财经》记者,这些QQ群都非常隐秘,“群名都跟薅羊毛无关,几乎搜索不到,而且普通人根本进不去,除非有内部人士介绍。” 据他介绍,一个QQ群就有上千人的规模,里面的信息几乎是24小时滚动刷屏,“拼多多这样的优惠券,几分钟之内就能传到不计其数的千人群里。”由于自己操作很容易被技术手段锁定,这些人往往将信息在群里扩散,让更多人参与,以降低风险。 羊毛党的触角遍布各个角落,产业链分成多个环节:卡商提供虚拟手机号,用来注册各类账户;黑客开发各类抢货、抢券软件;主力是“撸客”,他们提前准备好账户和软件后,会实时关注各类优惠信息,发起进攻;另外还有类似黄牛党的一群人,他们折价收购“撸客”们抢到的货和券,再加价卖出去。 此外,产业链也呈现出金字塔的格局,最底层也是体量最大的羊毛党,每天抢到的都是几毛钱甚至几分钱的优惠,也是普通人进入薅羊毛圈的第一步。 一位深入了解过薅羊毛产业的人士告诉《财经》记者,“也别小看这几毛几分钱,你手里如果有1000个账号,一个账号一天拿几毛钱,收入也很可观。”他透露,最近比较火的是一些有阅读奖励的内容类App,例如趣头条,“做一个阅读脚本,不停的自动阅读、点赞就行,门槛很低。” 不过这属于低端的脏活累活,再往上,收入成指数级增长,隐秘程度也更高。 大额优惠券和大幅度折扣的3C类产品是中层羊毛党们的最爱,这些单子单价高,信息来源稳定,入圈的人更愿意“闷声发大财”,一旦某些单子传播范围变大,他们就会去挖掘新的来源。因此,即使已经进入薅羊毛产业的底层人群,也很难进入到这个层级。 再往上,就是大佬们的游戏。大佬们在产业链的每个环节都握有大量资源,能够最先拿到大量的羊毛任务,他们并不直接下场,而是将这些任务分派到各个渠道,分派时直接拿抽成,据前述业内人士透露,一个顶级的大佬,行情好时,一天的收入能超过200万人民币。 暴利产业通常内部都不太平,薅羊毛产业有一个不成文的规定,大佬平均1-2年就会“退休”,把位置让给其他人,一是因为长期做的风险太高,赚够了钱之后就转行洗白;二是因为所有人都盯着这块肥肉,都想取而代之,搜集大佬的把柄,威胁敲诈等黑吃黑的情况也不少见。 隐秘、暴利、有组织,是薅羊毛产业能够持续生存的主要原因,电商平台是受损最严重的领域,包括阿里巴巴、京东在内的电商平台们,每年都会花大力气去整治、对抗薅羊毛产业,但羊毛党就像打不死的蟑螂,永远有源源不断的新手段,卷土重来。 互联网公司的安全难题 薅羊毛产业的猖獗,让不少互联网公司深受其害,也延伸出了互联网安全防护产业,出现了一批以互联网反欺诈、风控为核心业务的新公司。 猛犸反欺诈创始人张克告诉《财经》记者,绝大多数的薅羊毛行为都可以通过业务流程的优化来化解。 但以薅羊毛产业为代表的数据黑产仍然活跃,网络、数据安全是互联网行业的重要议题,为何这个问题已经成为行业毒瘤,但仍无有效方式解决? 一个主要的原因在于,薅羊毛产业是暴利行业,“只要有利可图,就会有源源不断的新手段。”张克说。 为了隐蔽,一些有经验的羊毛党会设立大量的虚拟身份,很难追溯到具体的个人,安全防护措施也只有在异样的行为出现时,才进行监控和防御,即使抓到个人或团伙,还有更多躲在暗处的羊毛党们跟上。 此外,不少互联网公司对于花费人力物力去对抗羊毛党,并不上心。一位考察过互联网安全项目的投资人告诉《财经》记者,一些互联网公司一开始会花钱找安全团队来做,一段时间没发生问题,他们就会觉得这个钱花的没有必要,就会缩减预算,“等到真的发生问题,你想花钱,也于事无补了。” 产业数据也能说明这一现象,阿里巴巴与南都大数据研究院联合发布的《2018网络黑灰产治理研究报告》显示,2017年,中国网络安全产业规模约为450亿元人民币,黑灰产高达近千亿规模,且后者的发展速度更快。 此次拼多多事件,大量的优惠券都已经被用于话费充值和Q币充值,这些属于虚拟物品,且是通过电信运营商和腾讯的渠道进行购买,拼多多很难追回这部分财产损失。话费、Q币等虚拟物品在薅羊毛圈属于硬通货,很容易洗白变现。 薅羊毛产业发展至今,甚至已经开始出现互联网公司与羊毛党“相爱相杀”的新局面。一位曾经创业做风控项目,现任一家互联网公司风控业务高管告诉《财经》记者,很多互联网公司的运营活动就依赖羊毛党来冲流量,一些公司在做运营活动计划时,甚至会将羊毛党冲量这部分的预算直接计入,“羊毛党和普通用户已经呈现融合的局面。” 此外,为了更大程度的避免风险,羊毛党也在伪装成普通用户,这在业内被称为“肉鸡”,例如,在20次正常交易过程中,插入两次羊毛交易,“很多公司并不会因为这2次,就干掉一个能带来20笔订单的用户。”前述风控业务高管说道。 互联网行业的高速发展,衍生出不少行业问题。集中在薅羊毛产业上来看,黑与白从完全对立,已经演变到相互融合,一旦得不到有效控制,白色也会变成灰色。[详情]
拼多多披露因“薅羊毛”损失不超千万,已报案 1月21日,针对用户薅千万“羊毛”事件,拼多多发布最新情况说明称,上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。 [详情]
在拼多多薅“羊毛”,怎么成了“无罪化狂欢”? 该还的总归要还。一大早,昨天凌晨参与拼多多薅羊毛狂欢的一些用户发现,拼多多平台强制取消了部分订单,也有充值话费的网友发现,自己的话费被运营商给强制退回。 但没想到的是,薅羊毛如今也可以理直气壮站在道德高地。一些用户在接受采访时义愤填膺,认为自己只是领了个优惠券,平台不该强制取消。更搞笑的是,还有不少媒体人和意见领袖跟在后面,认定平台的错不应该让用户承担损失。 劫富济贫是底层人性的一部分,但劫富济贫从逻辑和规则上来看,始终都是错的。尊重他人财产权,是基础社会规则的一部分,而薅羊毛和网络黑产,多数情况下做的事,都是数据时代的欺诈和盗窃。 在拼多多今天提供的详细声明中,能清晰看到作为灰色产业的羊毛党,是如何侵占企业利益的。 声明显示,羊毛党们所利用的优惠券,是拼多多与某电视节目合作中临时生成的优惠券,并且,从未公开出现在任何一次公开的促销活动之中,也没有开放过公开的入口。而黑产团队通过非正常途径发现漏洞并生成二维码,在公开范围内进行了传播。 这已经是很明显的一起技术犯罪,与传统意义上的“薅羊毛”完全是两码事。 通俗比较来说,这等于是一个专业团队发现了他人门锁上的漏洞,攻破门锁进行盗窃,并且,为了免除责任,干脆将大门敞开,让所有人都进来搬点东西回家,以制造一种“公开发放优惠券”的假象,来免除盗窃责任。 因此,用户抱怨平台不该收回优惠券完全没有任何道理可言。不管是遇到他人家门洞开,还是高速路遇到货车翻车,用户都没有理由去拿走原本属于平台的东西。这是对他人财产权的基本尊重,失主也理所应当可以采取各种手段索回丢失资产。 对于像拼多多这样的新晋巨头,此次攻击事件暴露了其风控体系的基础漏洞。但更值得反思的是,一起本质上是严重的盗窃公司财务案件,为何在公共舆论里陷入了一种无罪化的狂欢? 不能因为盗窃团伙在盗窃之外给大家也开了一道门,就认定盗窃行为本身在道义上合法。也不能因为技术盗窃的便利和无障碍,围观者就轻松谅解他人宽容自己。 “羊毛党”三个字刚见诸报端时,的确曾享受过一阵子道德豁免的特权。当时,互联网公司因为风控体系和制度设计问题,经常出现一些能够被用户利用的打折漏洞,继而,羊毛党也在很多人心中,有了一种“个体通过精明算计与商业巨头讨价还价”的假象。 ▲拼多多出现技术漏洞,100元无门槛券随便领 ,引发羊毛党狂欢。 但随着技术和风控手段升级,普通人意义上的“薅羊毛”空间几乎不存在了。羊毛党成为一个专业的犯罪团伙,他们掌握大量的手机黑卡,利用互联网公司的技术漏洞而疯狂获利。 事实上,现在有不少羊毛党,就是利用技术漏洞来进行高科技犯罪、游走在欺诈和盗窃边缘的专业团伙。 此前,曾有专业机构做过统计,国内网络黑产上下游从业者超过160万人,每年产值超过1000亿元,从传统的银行、保险公司再到电商平台,都曾成为他们攻击的对象。 这是对我们商业环境和共识明目张胆的侵犯。公众应当认识到,黑产团队并不是什么草莽英雄,也不是什么草根代表,他们既侵犯了企业的利益,也剥夺了用户红利,并最终破坏了企业与用户之间的信任连结。 而打击黑产和羊毛党,也应当成为大数据时代最重要的共识。 □ 胡涵(媒体人)[详情]
薅拼多多无门槛优惠券,在道德上就是自留污点 ▲资料图。 拼多多“一夜之间被薅羊毛200亿”的事情,引发了很多议论。拼多多方面向媒体表示,数额并没有那么大,是谣言,损失最终在千万以下;其声明中还称,这与“某航空公司在官网由于误操作发放低价机票”等事件具有根本性质差异。 专门薅羊毛的网络黑产,涉嫌盗窃 损失的大头,来自专门薅羊毛的网络黑产。据拼多多的声明,有黑产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,拼多多已第一时间修复漏洞,并正对涉事订单进行溯源追踪。据最新进展,在其报案后,上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。 黑灰产业薅羊毛一直是业内痼疾,其程序化、自动化、产业化的特征,令其可以迅速地规模化、专业化操作,获得大量利益。依照律师韩骁的说法,用户利用系统漏洞大量领取平台的优惠券并以此获利,可能涉嫌盗窃罪,若获利数额达到相关标准,则有可能需要承担刑事责任。 黑灰产业明知自己的行为是非法的。而根据相关报道,此次事件中,黑灰产业团伙在巨额获利之后,为了逃避制裁把非法链接公布给大众,企图造成法不责众的情况,就是想浑水摸鱼。 说到底,黑灰产业就像货车翻了哄抢橘子,而且还是开着卡车和挖掘机来抢。有时,他们甚至会主动制造翻车事故,在自己抢过大头儿之后,再号召大家来抢。 正因为如此,此次很多普通用户也“薅了一把羊毛”。而且,由于拼多多利用社交网络传播的自身特点,可以短时间大量扩散,即便是深更半夜,很多用户也加入到了薅羊毛的队伍中。 ▲图/视觉中国。 优惠券明显有违常识,涉事用户果真毫无察觉? 对于这部分用户,很多人认为,领取优惠券自己并无恶意,也无法区别到底是促销还是平台bug。所以自己不该担责,也不该退回。 这种说法到底有没有道理呢? 理论上看,如果是平台的普通客户,并非有意识地通过这一安全漏洞大量领取优惠券牟利,而仅领取了数量较少的优惠券,没有盗窃的主观故意,客观上获利也未达到量刑标准,则并不构成盗窃罪。 不过,实际情况远比理论复杂。 首先,此次链接并不是正常的平台链接,而是黑灰产业非法流出的。其次,消费者或许没有办法判断是否是系统bug,但有一点是明显的,那就是明显低于市场价格。更何况,依常识来看,优惠券一般不在手机话费、Q币这类流动性极高的商品上使用。 再说了,很多人利用无门槛优惠券买Q币,再用Q币买游戏道具,然后把游戏道具出售变现。如果这一系列实质上的转移甚至洗钱行为在短时间内完成,相关用户真的能说是完全善意吗? 所以,开挖掘机去抢不行,自己带个小口袋去抢也不行。更何况,抢的还是开挖掘机的人故意漏出的。 不必绑架企业“花钱做形象” 退一步看,即便完全善意,也并不意味着无需退回。 根据最高法《关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见(试行)》:行为人因对行为的性质,对方当事人,标的物的品种、质量、规格和数量等的错误认识,使行为的后果与自己的意思相悖,并造成较大损失的,可以认定为重大误解,可以请求人民法院变更或撤销已履行的民事行为,被告或补足价款,或退还,解除原买卖关系。 需要指出的是,“无恶意”并不是不返还的理由。从对“重大误解”的规定看,并无涉及合同另一方的状态,只要一方因为重大误解,就可以撤销合同。 用一个更恰当的比喻:摊主让自己小孩卖橘子,然后小孩不懂事,5块钱一斤说成5毛钱一斤了。这个时候,不管买的人是否有意占便宜,摊主都是可以找上门去要回来的。 很多人认为,这是企业做形象的好机会,企业应该认下来,这对其长远有利。但是否花钱做形象,是企业根据自身情况的自主选择,不必因此被绑架。 总而言之,不趁人之危、不取不义之财,是简单明了的传统道德。在今天,虽然网络隔开了人与人,但道德、正直这些基本品格,不应该因此而淡漠。跟着黑灰产团伙一块加入薅羊毛队伍,在道德上就是自留污点,很难被洗白。 □刘远举(专栏作家)[详情]
拼多多回应:“优惠券漏洞”实为线下互动券遭黑灰产批量盗取 每日经济新闻 图片来源:摄图网 每经记者 张斯 实习编辑 王丽娜2019年刚开年,拼多多就经历了黑色星期天。这次薅羊毛事件是否属于平台系统严重漏洞?损失金额如传说中的超过2亿元?以及平台是否为了止损冻结用户订单?1月21日,拼多多针对昨日“优惠券漏洞”事件发布情况说明,并依次回应。事件发生时正值拼多多“年货节”大促,期间有大批量平台正常发放的优惠券被消耗。 至20日上午9点,遭盗取优惠券和正常优惠券的总和突破平台预设阈值,系统监控到异常并自动报警后,拼多多在第一时间修复了相关漏洞。黑灰产重启封存优惠券关于此次事件的核心问题,即事件是如何发生的,拼多多表示,黑灰产团伙所利用的“优惠券漏洞”盗取的相关优惠券,系拼多多此前与一档电视节目(江苏卫视《非诚勿扰》)开展合作时,因节目录制需要特殊生成的优惠券类型,仅供现场嘉宾使用。除此之外,此种类型优惠券,从未在任何时候、以任何方式出现在平台正常的线上促销活动当中,甚至从未有任何线上入口,这与“某航空公司在官网由于误操作发放低价机票”等事件具有根本性质差异。而该事件中的相关优惠券,均系黑灰产团伙通过非正常途径生成的二维码扫码后获得,该二维码多流传于社交平台相关黑灰产群。 拼多多从未针对该类型优惠券生成任何二维码,更从未在APP及小程序中展示过此类优惠券相关信息及二维码。该二维码具体的生成及传播过程,正待警方调查后获得最终结论。黑灰产是如何运作的?在相关说明中,拼多多透露,黑灰产通过该非正常途径生成的二维码,原本每个认证信息的用户可且仅可领取一张无门槛100元优惠券,而非此前网络流传的单个ID可以“无限领取”。因此,有黑灰产团伙通过“养猫池”(用手机卡蓄养大量虚拟账号)等不法手段,实现N张手机黑卡同时作业,批量盗取该种优惠券,并通过手机话费、Q币等虚拟充值的方式,试图在短时间内迅速转移此类不当所得。 而对于本次重大漏洞,网传“拼多多200亿元资损谣言”,拼多多给予辟谣,实际损失涉案优惠券总金额达数千万元。此外,期间广为流传的“数十万Q币”、“公关部多多哥”、“脉脉网鹿杖客”等相关截图,经查均系不实谣言。拼多多风控团队负责人表示,黑灰产团伙在盗取金额巨大的优惠券并转移其不当所得后,期望达成“法不责众”的效果,迅速通过网络和社交群将二维码分享出去,诱导一些普通消费者跟风扫码,并在社交平台和群内编造“拼多多平台发券损失200亿等谣言”,以希望达到逃避刑责、混淆视听的结果。 冻结订单主要是警方取证行为在拼多多看来,该事件与此前某航、某电商平台等一系列因bug所致资损事件存在本质差别,前者为平台错误操作、非正常发放所致的民事问题,此次拼多多优惠券事件则为“套券诈骗”的网络诈骗案件。打个比方后者类似于犯罪团伙撬开家门实施盗窃之后自己也有些害怕,打开大门招呼更多普通路人进入受害者家中搬取。如按照网络中前者被以“ATM机误吐钞”现象做类比,后者则相当于非法团伙撬开ATM机后实施盗窃。 事件发生后,拼多多迅速向公安机关报案。目前公安机关正在调查过程中,因涉案金额巨大,预计将会对涉嫌套券诈骗、牟取巨额不当利益的涉事黑灰产团伙追究刑事责任。据了解,针对该事件,目前上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。拼多多平台正配合警方,对涉事订单进行溯源追踪,并最终依据警方的调查结果对相关订单做出依法依规处理。本次事件不涉及任何数据安全问题,平台消费者原本正常领取的优惠券使用不会受到影响。为进一步加强“特殊优惠券”相关风控体系,拼多多已成立技术专组。 此外,拼多多平台期间及后续的正常订单,均不会受此事件影响。为充分保障正常参与平台各项活动的消费者的利益,在“年货节”和“春节不打烊”活动期间,拼多多将追加一亿元年货红包津贴,向平台消费者进行发放。[详情]
拼多多:上海警方已立案,涉案优惠券总金额达数千万元 1月21日,针对用户薅千万“羊毛”事件,拼多多发布最新情况说明称,上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。 公司方面称,目前公安机关正在调查过程中,因涉案金额巨大,预计将会对涉嫌套券诈骗、牟取巨额不当利益的涉事黑灰产团伙追究刑事责任。 拼多多在说明中披露,黑灰产团伙所利用的“优惠券漏洞”盗取的相关优惠券,系拼多多此前与江苏卫视《非诚勿扰》开展合作时,因节目录制需要特殊生成的优惠券类型,仅供现场嘉宾使用。除此之外,此种类型优惠券,从未在任何时候、以任何方式出现在平台正常的线上促销活动当中,甚至从未有任何线上入口。 公司预计,本次事件造成的最终实际资损大概率低于千万元。事件期间广为流传的“数十万Q币”、“公关部多多哥”、“脉脉网鹿杖客”等相关截图,经查均系不实谣言。 此外,该公司表示,平台期间及后续的正常订单均不会受此事件影响。在“年货节”和“春节不打烊”活动期间,拼多多还将向消费者追加一亿元年货红包津贴发放。 以下为拼多多公告全文: 拼多多“卫视线下互动专属优惠券”遭黑灰产批量盗取的情况说明 1. 黑灰产团伙所利用的“优惠券漏洞”盗取的相关优惠券,系拼多多此前与一档电视节目(江苏卫视《非诚勿扰》)开展合作时,因节目录制需要特殊生成的优惠券类型,仅供现场嘉宾使用。除此之外,此种类型优惠券,从未在任何时候、以任何方式出现在平台正常的线上促销活动当中,甚至从未有任何线上入口,这与“某航空公司在官网由于误操作发放低价机票”等事件具有根本性质差异。 2. 该事件中的相关优惠券,均系黑灰产团伙通过非正常途径生成的二维码扫码后获得,该二维码多流传于社交平台相关黑灰产群。拼多多从未针对该类型优惠券生成任何二维码,更从未在APP及小程序中展示过此类优惠券相关信息及二维码。该二维码具体的生成及传播过程,正待警方调查后获得最终结论。 3. 通过该非正常途径生成的二维码,原本每个认证信息的用户可且仅可领取一张无门槛100元优惠券,而非此前网络流传的单个ID可以“无限领取”。因此,有黑灰产团伙通过“养猫池”(用手机卡蓄养大量虚拟账号)等不法手段,实现N张手机黑卡同时作业,批量盗取该种优惠券,并通过手机话费、Q币等虚拟充值的方式,试图在短时间内迅速转移此类不当所得,涉案优惠券总金额达数千万元。 4. 拼多多风控团队负责人表示,黑灰产团伙在盗取金额巨大的优惠券并转移其不当所得后,期望达成“法不责众”的效果,迅速通过网络和社交群将二维码分享出去,诱导一些普通消费者跟风扫码,并在社交平台和群内编造“拼多多平台发券损失200亿等谣言”,以希望达到逃避刑责、混淆视听的结果。 5. 该事件与此前某航、某电商平台等一系列因bug所致资损事件存在本质差别,前者为平台错误操作、非正常发放所致的民事问题,此次拼多多优惠券事件则为“套券诈骗”的网络诈骗案件。打个比方后者类似于犯罪团伙撬开家门实施盗窃之后自己也有些害怕,打开大门招呼更多普通路人进入受害者家中搬取。如按照网络中前者被以“ATM机误吐钞”现象做类比,后者则相当于非法团伙撬开ATM机后实施盗窃。 6. 事件发生时正值拼多多“年货节”大促,期间有大批量平台正常发放的优惠券被消耗。至20日上午9点,遭盗取优惠券和正常优惠券的总和突破平台预设阈值,系统监控到异常并自动报警后,拼多多在第一时间修复了相关漏洞。 7. 事件发生后,拼多多迅速向公安机关报案。目前公安机关正在调查过程中,因涉案金额巨大,预计将会对涉嫌套券诈骗、牟取巨额不当利益的涉事黑灰产团伙追究刑事责任。 8. 针对该事件,目前上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。拼多多平台正配合警方,对涉事订单进行溯源追踪,并最终依据警方的调查结果对相关订单做出依法依规处理。 9. 依据目前该事件相关统计及进展,拼多多方面预计,本次事件造成的最终实际资损大概率低于千万元。此外,期间广为流传的“数十万Q币”、“公关部多多哥”、“脉脉网鹿杖客”等相关截图,经查均系不实谣言。 10. 本次事件不涉及任何数据安全问题,平台消费者原本正常领取的优惠券使用不会受到影响。为进一步加强“特殊优惠券”相关风控体系,拼多多已成立技术专组。 11. 在公安机关的指导下,拼多多将坚决打击黑灰产团伙,不会存在半分妥协与让步。对于遭裹挟的普通消费者,平台主观意愿上不会进行进一步追责,但拼多多不支持此类非正常行为。 12. 拼多多平台期间及后续的正常订单,均不会受此事件影响。为充分保障正常参与平台各项活动的消费者的利益,在“年货节”和“春节不打烊”活动期间,拼多多将追加一亿元年货红包津贴,向平台消费者进行发放。 [详情]
拼多多公布“黑产案”进展:对涉事订单进行批量冻结 上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。 记者 | 饶文怡 1月21日,拼多多公开了此前沸沸扬扬的“黑产案”最新进展。拼多多表示,截至1月20日上午9点,遭盗取优惠券和正常优惠券的总和突破平台预设阈值,系统监控到异常并自动报警后,拼多多在第一时间修复了相关漏洞。 事件发生后,拼多多已经向公安机关报案。针对该事件,目前上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。 目前公安机关正在调查过程中,因涉案金额巨大,预计将会对涉嫌套券诈骗、牟取巨额不当利益的涉事黑灰产团伙追究刑事责任。拼多多平台正配合警方,对涉事订单进行溯源追踪,并最终依据警方的调查结果对相关订单做出依法依规处理。依据目前该事件相关统计及进展,拼多多方面预计,本次事件造成的最终实际资损大概率低于千万元。 拼多多方面称,被黑产团队盯上的优惠券,是此前平台与江苏台《非诚勿扰》节目开展合作时的定制优惠券,仅供节目录制现场嘉宾使用。除此之外,此种类型优惠券,从未在任何时候、以任何方式出现在平台正常的线上促销活动当中,甚至从未有任何线上入口。 拼多多表示,该事件中的相关优惠券,均系黑灰产团伙通过非正常途径生成的二维码扫码后获得,该二维码多流传于社交平台相关黑灰产群。拼多多从未在APP及小程序中展示过此类优惠券相关信息及二维码。该二维码具体的生成及传播过程,正待警方调查后获得最终结论。 通过该非正常途径生成的二维码,原本每个认证信息的用户可且仅可领取一张无门槛100元优惠券。不法分子通过“养猫池”(用手机卡蓄养大量虚拟账号)等不法手段,实现多张手机黑卡同时作业,批量盗取该种优惠券,并通过手机话费、Q币等虚拟充值的方式,试图在短时间内迅速转移此类不当所得,涉案优惠券总金额达数千万元。 拼多多风控团队负责人表示,黑灰产团伙在盗取金额巨大的优惠券并转移其不当所得后,期望达成“法不责众”的效果,迅速通过网络和社交群将二维码分享出去,诱导一些普通消费者跟风扫码,并在社交平台和群内编造“拼多多平台发券损失200亿等谣言”,以希望达到逃避刑责、混淆视听的结果。 拼多多澄清称,本次事件不涉及任何数据安全问题,平台消费者原本正常领取的优惠券使用不会受到影响;拼多多平台期间及后续的正常订单,均不会受此事件影响;为进一步加强“特殊优惠券”相关风控体系,拼多多已成立技术专组。 [详情]
面对“薅羊毛”和“黑灰产“,拼多多不妨分而治之 1月20日凌晨,电商平台拼多多被曝出现重大BUG(漏洞),用户可领100元无门槛优惠券,这一漏洞引来了大批用户“薅羊毛”。当天上午9点,拼多多已将相关优惠券全部下架。 对此,拼多多方面回应称,此次事件与平台风控体系无关,主要是有黑灰产团伙利用一个已经过期优惠券的程序漏洞,盗取优惠券,进而将事态扩大化。据悉,拼多多方面目前已向警方报案,最终还能追回不少,实际资产损失会低于千万元。 “薅羊毛”和“黑灰产”是两个我们曾经陌生如今逐渐熟悉的互联网用词。按照定义,“黑产”指的是直接触犯国家法律的网络犯罪,“灰产”则是游走在法律边缘,往往为“黑产”提供辅助的争议行为。“薅羊毛”一词则源自赵本山当年在春晚表演的小品,意思就是众人一起占点小便宜。在拼多多“无门槛优惠券”事件中,利用程序漏洞盗取优惠券的团火是黑灰产,而众多领了100元无门槛优惠券的用户就是在薅羊毛了。 而面对“薅羊毛”和“黑灰产”,拼多多不妨分而治之,毕竟两者性质截然不同。后者属于违法作为。拼多多同时公告称,平台消费者原本正常领取的优惠券不受影响,实际上就是区别处理。 而问题争议在于,有些用户究竟是否属于“羊毛党”?其实来自于其是否参与了黑灰产有组织、有预谋的盗取并扩散使用优惠券行为,还是在事先不知情的情况下运用?这恐怕有待于拼多多所掌握的相关证据以及警方的后续调查。 而围绕这次事件,拼多多最应反思的还是自身的技术漏洞。事实上,电商领域“黑灰产”现象一直存在,而作为电商平台,必须时刻预演相应的安全攻防战,从而发现自身可能的技术和管理问题,并在最短时间内加以改进。作为新兴电商平台,拼多多在业绩狂奔的同时,务必要进一步强化安全体系内功,毕竟这牵涉到数以百亿计的交易额和数千万用户的信息等数据安全性。 因此,笔者想提出一个大胆的想法,基于当下国内电商平台越来越多,各自掌握大量的交易额和用户数据,其安全性也就越发重要,能否就此组建行业性的电商安全联盟,各大电商平台都能参与进来,在合理边界内分享各自在此基础上的管理成果,推动行业自治,强化行业整体安全能力,如此才能预防更多“黑灰产”事件的发生,也为亿万消费者提供更安全的电商交易安全保障体系。 目前,已经有电商平台在尝试做类似事情,但主要是联合其自身合作的上下游物流、ISV服务商、商家等,还属于单打独斗。如果电商平台能抛弃成见,形成更广泛的合作联盟,显然更有利于电商行业安全生态建设。当然,政府相关部门及电商行业协会也不妨加以推动,争取能让这一有利于行业良性发展与用户权益保障的事情得以成行。 □远山(财经评论人)[详情]
新浪科技讯 北京时间1月21日下午消息,拼多多今日发布“‘卫视线下互动专属优惠券’遭黑灰产批量盗取的情况说明”。声明中称,黑灰产团伙所利用的“优惠券漏洞”盗取的相关优惠券,系拼多多此前与一档电视节目合作时需要特殊生成的优惠券类型。除此之外,此种类型优惠券,从未在任何时候、以任何方式出现在平台正常的线上促销活动当中。该事件与此前某航、某电商平台等一系列因Bug所致资损事件存在本质差别,属于“套券诈骗”的网络诈骗案件。 声明中还说,目前上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。拼多多将坚决打击黑灰产团伙,不会存在半分妥协与让步。 拼多多还表示,拼多多平台期间及后续的正常订单,均不会受此事件影响。为充分保障正常参与平台各项活动的消费者的利益,在“年货节”和“春节不打烊”活动期间,拼多多将追加一亿元年货红包津贴,向平台消费者进行发放。 1月20日凌晨,拼多多平台出现“优惠券Bug”,有媒体报道称,专职羊毛党发现了这个Bug,使用该优惠券后,可实现用0.46元充值100元话费,且可以通过新账号的方式无限制领券。网上热议此次Bug造成拼多多200多亿元损失,直到20日上午9点,该优惠券的领取通道才被官方正式下架。 拼多多当时对外声明称,1月20日晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。 而针对此次事件,1月20日下午,上海公安部门接受媒体采访表示,如果真的是有黑产羊毛党恶意搞拼多多,那么本次事件是可以被当成欺诈罪处理的刑事问题。 附:拼多多“卫视线下互动专属优惠券”遭黑灰产批量盗取的情况说明 【备注:在这份说明中,您将阅读到1月20日“拼多多200亿元资损谣言”是如何出现的,以及拼多多此次“优惠券遭遇黑灰产事件”与此前某航空公司低价机票事件、某电商平台话费积分等事件具有根本性质差异】 1. 黑灰产团伙所利用的“优惠券漏洞”盗取的相关优惠券,系拼多多此前与一档电视节目(江苏卫视《非诚勿扰》)开展合作时,因节目录制需要特殊生成的优惠券类型,仅供现场嘉宾使用。除此之外,此种类型优惠券,从未在任何时候、以任何方式出现在平台正常的线上促销活动当中,甚至从未有任何线上入口,这与“某航空公司在官网由于误操作发放低价机票”等事件具有根本性质差异。 2. 该事件中的相关优惠券,均系黑灰产团伙通过非正常途径生成的二维码扫码后获得,该二维码多流传于社交平台相关黑灰产群。拼多多从未针对该类型优惠券生成任何二维码,更从未在App及小程序中展示过此类优惠券相关信息及二维码。该二维码具体的生成及传播过程,正待警方调查后获得最终结论。 3. 通过该非正常途径生成的二维码,原本每个认证信息的用户可且仅可领取一张无门槛100元优惠券,而非此前网络流传的单个ID可以“无限领取”。因此,有黑灰产团伙通过“养猫池”(用手机卡蓄养大量虚拟账号)等不法手段,实现N张手机黑卡同时作业,批量盗取该种优惠券,并通过手机话费、Q币等虚拟充值的方式,试图在短时间内迅速转移此类不当所得,涉案优惠券总金额达数千万元。 4. 拼多多风控团队负责人表示,黑灰产团伙在盗取金额巨大的优惠券并转移其不当所得后,期望达成“法不责众”的效果,迅速通过网络和社交群将二维码分享出去,诱导一些普通消费者跟风扫码,并在社交平台和群内编造“拼多多平台发券损失200亿等谣言”,以希望达到逃避刑责、混淆视听的结果。 5. 该事件与此前某航、某电商平台等一系列因Bug所致资损事件存在本质差别,前者为平台错误操作、非正常发放所致的民事问题,此次拼多多优惠券事件则为“套券诈骗”的网络诈骗案件。打个比方后者类似于犯罪团伙撬开家门实施盗窃之后自己也有些害怕,打开大门招呼更多普通路人进入受害者家中搬取。如按照网络中前者被以“ATM机误吐钞”现象做类比,后者则相当于非法团伙撬开ATM机后实施盗窃。 6. 事件发生时正值拼多多“年货节”大促,期间有大批量平台正常发放的优惠券被消耗。至20日上午9点,遭盗取优惠券和正常优惠券的总和突破平台预设阈值,系统监控到异常并自动报警后,拼多多在第一时间修复了相关漏洞。 7. 事件发生后,拼多多迅速向公安机关报案。目前公安机关正在调查过程中,因涉案金额巨大,预计将会对涉嫌套券诈骗、牟取巨额不当利益的涉事黑灰产团伙追究刑事责任。 8. 针对该事件,目前上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。拼多多平台正配合警方,对涉事订单进行溯源追踪,并最终依据警方的调查结果对相关订单做出依法依规处理。 9. 依据目前该事件相关统计及进展,拼多多方面预计,本次事件造成的最终实际资损大概率低于千万元。此外,期间广为流传的“数十万Q币”、“公关部多多哥”、“脉脉网鹿杖客”等相关截图,经查均系不实谣言。 10. 本次事件不涉及任何数据安全问题,平台消费者原本正常领取的优惠券使用不会受到影响。为进一步加强“特殊优惠券”相关风控体系,拼多多已成立技术专组。 11. 在公安机关的指导下,拼多多将坚决打击黑灰产团伙,不会存在半分妥协与让步。对于遭裹挟的普通消费者,平台主观意愿上不会进行进一步追责,但拼多多不支持此类非正常行为。 12. 拼多多平台期间及后续的正常订单,均不会受此事件影响。为充分保障正常参与平台各项活动的消费者的利益,在“年货节”和“春节不打烊”活动期间,拼多多将追加一亿元年货红包津贴,向平台消费者进行发放。[详情]
新浪财经讯 1月21日,拼多多发布最新情况说明,称上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。以下为拼多多公告全文: 拼多多“卫视线下互动专属优惠券”遭黑灰产批量盗取的情况说明 1、黑灰产团伙所利用的“优惠券漏洞”盗取的相关优惠券,系拼多多此前与一档电视节目(江苏卫视《非诚勿扰》)开展合作时,因节目录制需要特殊生成的优惠券类型,仅供现场嘉宾使用。除此之外,此种类型优惠券,从未在任何时候、以任何方式出现在平台正常的线上促销活动当中,甚至从未有任何线上入口,这与“某航空公司在官网由于误操作发放低价机票”等事件具有根本性质差异。 2、该事件中的相关优惠券,均系黑灰产团伙通过非正常途径生成的二维码扫码后获得,该二维码多流传于社交平台相关黑灰产群。拼多多从未针对该类型优惠券生成任何二维码,更从未在APP及小程序中展示过此类优惠券相关信息及二维码。该二维码具体的生成及传播过程,正待警方调查后获得最终结论。 3、通过该非正常途径生成的二维码,原本每个认证信息的用户可且仅可领取一张无门槛100元优惠券,而非此前网络流传的单个ID可以“无限领取”。因此,有黑灰产团伙通过“养猫池”(用手机卡蓄养大量虚拟账号)等不法手段,实现N张手机黑卡同时作业,批量盗取该种优惠券,并通过手机话费、Q币等虚拟充值的方式,试图在短时间内迅速转移此类不当所得,涉案优惠券总金额达数千万元。 4、拼多多风控团队负责人表示,黑灰产团伙在盗取金额巨大的优惠券并转移其不当所得后,期望达成“法不责众”的效果,迅速通过网络和社交群将二维码分享出去,诱导一些普通消费者跟风扫码,并在社交平台和群内编造“拼多多平台发券损失200亿等谣言”,以希望达到逃避刑责、混淆视听的结果。 5、该事件与此前某航、某电商平台等一系列因bug所致资损事件存在本质差别,前者为平台错误操作、非正常发放所致的民事问题,此次拼多多优惠券事件则为“套券诈骗”的网络诈骗案件。打个比方后者类似于犯罪团伙撬开家门实施盗窃之后自己也有些害怕,打开大门招呼更多普通路人进入受害者家中搬取。如按照网络中前者被以“ATM机误吐钞”现象做类比,后者则相当于非法团伙撬开ATM机后实施盗窃。 6、事件发生时正值拼多多“年货节”大促,期间有大批量平台正常发放的优惠券被消耗。至20日上午9点,遭盗取优惠券和正常优惠券的总和突破平台预设阈值,系统监控到异常并自动报警后,拼多多在第一时间修复了相关漏洞。 7、事件发生后,拼多多迅速向公安机关报案。目前公安机关正在调查过程中,因涉案金额巨大,预计将会对涉嫌套券诈骗、牟取巨额不当利益的涉事黑灰产团伙追究刑事责任。 8、针对该事件,目前上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。拼多多平台正配合警方,对涉事订单进行溯源追踪,并最终依据警方的调查结果对相关订单做出依法依规处理。 9、依据目前该事件相关统计及进展,拼多多方面预计,本次事件造成的最终实际资损大概率低于千万元。此外,期间广为流传的“数十万Q币”、“公关部多多哥”、“脉脉网鹿杖客”等相关截图,经查均系不实谣言。 10、本次事件不涉及任何数据安全问题,平台消费者原本正常领取的优惠券使用不会受到影响。为进一步加强“特殊优惠券”相关风控体系,拼多多已成立技术专组。 11、在公安机关的指导下,拼多多将坚决打击黑灰产团伙,不会存在半分妥协与让步。对于遭裹挟的普通消费者,平台主观意愿上不会进行进一步追责,但拼多多不支持此类非正常行为。 12、拼多多平台期间及后续的正常订单,均不会受此事件影响。为充分保障正常参与平台各项活动的消费者的利益,在“年货节”和“春节不打烊”活动期间,拼多多将追加一亿元年货红包津贴,向平台消费者进行发放 [详情]
新京报报道,拼多多发布最新情况说明,称上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。 拼多多称,依据目前该事件相关统计及进展,拼多多方面预计,本次事件造成的最终实际资损大概率低于千万元。此外,期间广为流传的“数十万Q币”、“公关部多多哥”、“脉脉网鹿杖客”等相关截图,经查均系不实谣言。[详情]
拼多多平台现漏洞被盗数千万优惠券 律师:是否追回需分情况讨论 央广网北京1月21日消息(记者王逸群)据中国之声《新闻纵横》报道,经常网购的朋友昨天(20日)可能听说了这样一件事,拼团购物App“拼多多”被曝出现了“优惠券漏洞”。有网民表示,只要领取面值为100元的优惠券,就可以只花不到五毛钱充值100元话费,而且还可以通过注册新账号的方式无限制领券。消息曝光后,有大批用户开始了连夜“薅羊毛”的节奏,利用无门槛优惠券来充值话费、Q币。 相关漏洞曝光后,引发舆论关注,甚至一度有媒体声称拼多多此轮损失有200亿元。那么,拼多多对此如何回应,又采取了哪些应急举措?对于此次漏洞造成的损失,拼多多、“羊毛党”和普通的消费者们分别有怎样的责任呢? 公开报道显示,优惠券漏洞大约在20日凌晨被发现,每一个注册用户可以可随意领100元无门槛优惠券,而大多数“上车”的网友都选择了充值话费或者Q币,并且晒出了自己的“战果”。根据截图,用户利用该优惠券充值100元话费只需要支付不到0.5元钱。 拼多多则在20日中午12点发表了声明,称有黑灰产团伙(也就是通过虚假账号注册进行非法交易等行为的团伙)通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪,同时已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。 一场漏洞引发的“薅羊毛狂欢”暂告结束,然而这背后却依然有诸多问题有待回答。 首先,拼多多损失了多少?有网传说法是“200亿人民币”。对此,拼多多公关部门予以否认,但承认最终损失数额低于千万人民币。 其次,已经使用了优惠券的用户是否会被追回已经消费的订单?充值到账的话费和Q币会被追回吗?对此拼多多公关部负责人没有回应。 北京市律师协会律师葛友山表示,拼多多是否追回需要分情况讨论。葛友山说:“在这个事件中,拼多多首先要对善意消费者的消费行为进行保护,普通消费者合理、善意取得的优惠券,拼多多应该兑付承诺或者完成交易行为。对于恶意的、‘充值巨大金额’的用户,拼多多也可以启动它的维权程序,可以否认交易结果向法院申请撤销交易合同。” 很多没“上车”的网友感慨“一觉醒来损失一个亿”,而许多已经领取了该优惠券但尚未使用的网友则表示,目前账户内的100元无门槛券已被回收,拼多多补偿了一张5元的优惠券。 第三,幕后团伙如何追责?拼多多方面表示,此次事件背后有黑灰产团伙进行不正当谋利。湖南金州律师事务所律师邢鑫表示,如果拼多多声明属实,相关团伙则涉嫌构成盗窃罪等。本案如果经公安机关侦查查明是因黑灰产团伙以非法占有为目的,明知被害单位拼多多的平台存在过期的优惠券系统漏洞,利用该漏洞盗取平台优惠券,数额特别巨大,其行为已涉嫌构成盗窃罪;如果其中还存在提供侵入、非法控制计算机信息系统的程序、工具等行为,造成经济损失、情节特别严重的,其行为已涉嫌构成非法获取计算机信息系统数据、非法控制计算机信息系统罪。 近年来,网络黑灰产已经成为一个庞大、复杂、隐蔽、高效的产业链,这其中“薅羊毛”就是盈利模式之一。 电子商务研究中心主任曹磊说,今天的职业“羊毛党”已经属于黑灰产业链,呈现团伙化、规模化、自动化趋势,其危害不容小觑。这样的“羊毛党”如今遍布互联网,通过利用优惠漏洞低价买进高价卖出,大量获利。根据合同法的相关规定,如果此次拼多多出现优惠券漏洞是有黑产羊毛党恶意“搞”拼多多,这类交易属于存在“重大误解”订立的合同,可以要求撤销。 那么,平台方的漏洞究竟如何产生?黑灰产团体的“盗取”行为究竟如何定义?拼多多方面未予以回应。曹磊认为,此次拼多多出现漏洞,一种可能是平台出现业务策略漏洞,另一种可能是遭到有预谋的黑灰产组织操作,但目前来看后者的可能性比较大。 最后,拼多多在“用户守则”中写道:用户不得利用拼多多平台外挂或利用拼多多平台当中的BUG漏洞来获得不正当的利益。这是不是意味着此次事件,拼多多不用担责?对此,邢鑫律师认为,拼多多方面不能就此完全撇清责任。他表示:“本案中拼多多自身在风险控制、预警机制、技术和运营的防漏洞等方面存在一定的责任。如果最终拼多多的无门槛券活动被认定为普通的互联网促销活动,除了前面讲到的那些有组织作案的黑产灰团伙使用大量新注册账号的‘薅羊毛’行为,其他的损失拼多多很有可能要自己承担。”[详情]
拼多多现大Bug 100元无门槛券随便领:实际损失或低于千万元 央广网北京1月21日消息(记者张茜)据经济之声《天下财经》报道,昨天(20日)凌晨,互联网销售平台拼多多出现巨大漏洞,用户可以领取100元无门槛代金券,据页面显示,有效期一年,且全场通用。这导致许多“羊毛党”连夜薅羊毛,拼多多一夜之间损失惨重。昨天上午9点,拼多多已将相关优惠券全部下架。 根据最新进展显示,拼多多已在昨天上午9点左右把100元无门槛优惠券的领取方式全部下架,之前领到未使用的优惠券也全部下架。昨天,拼多多公关部门相关人员向经济之声记者透露,此次事件实际最终资金损失或低于千万元。事后,部分网友爆料称,有人通过拼多多购买了上万元的加油卡,甚至充值了上万元的手机话费。 那么,这样的“薅羊毛”行为是否触犯到法律了呢?知名IT与知识产权律师、中国互联网协会信用评价中心法律顾问赵占领介绍,这需要分情况来看。如果是黑灰产团伙利用拼多多的漏洞,然后去“薅羊毛”,主要涉及到非法侵入计算机信息系统的刑事犯罪。如果是普通用户发现拼多多的漏洞,然后去领取优惠券并且去使用,这种行为在法律上来讲,属于不当得利。 赵占领说,虽然普通用户的行为并没有触犯刑法,但这种行为已经违反了用户和拼多多平台之间的用户协议,在法律上,拼多多可以要求用户返还优惠券带来的相关利益。“这个行为违反了和拼多多之间的用户协议约定。用户协议里面有明确约定,用户不能使用外挂,或者是不能利用拼多多的bug,去谋取不当的利益。基于这一点,拼多多可以从法律上,要求用户返还已经使用优惠券获得的利益。”赵占领说。 就在昨天中午,拼多多方面回应称,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。平台已第一时间修复漏洞,同时向公安机关报案。 公告里提到的“黑灰产团伙”也就是大家俗称的“羊毛党”。“羊毛党”主要是指,一些收集各大电子商城、银行、实体店等各渠道的优惠促销活动、免费业务之类信息的人群。中国电子商务研究中心主任曹磊说,国内“羊毛党”已经形成了组织化程度极高的黑灰产组织。这些“羊毛党”,不仅手法娴熟、而且深谙舆论造势,一旦碰上风控高压线没能薅到羊毛,就会通过各种社交媒体给平台施压。上到BAT,下到初创的互联网公司,只要举办市场活动,都可能面临“羊毛党”的巨大威胁。例如互联网金融、直播、游戏等领域。有些创业公司甚至因此而破产或倒闭。 事实上,“羊毛党”和“薅羊毛”行为一直存在。随着近年以天猫等电商平台为代表的“千亿级”时代到来,这种专业“羊毛党”还呈现出“病毒式”的扩散和壮大。对此,曹磊建议,互联网公司一方要苦练内功,不断加强风控能力,加强平台自身的风险抵御能力,同时也要借此事件呼吁有关部门和执法机关加大对那些不法的“羊毛党”、刷单族、黑公关等,还有贩卖互联网信息的等互联网黑灰产业的打击力度,特别在电商法实施之后,给消费者一个更加公平明亮的环境。[详情]
【相关阅读】 拼多多漏洞事件损失数千万 “薅了羊毛”的用户怎么办? 拼多多Bug事件始末:涉事金额未透露 是否追回无说法 中国电商第3大巨头拼多多在“羊毛门”中做错了什么? 拼多多Bug惨案中捡钱者该被追责?律师:属于不当得利 拼多多损失上千万元能否追回成疑 律师:羊毛党或涉犯罪 1月20日,星期天,伴随着职业薅羊毛党的狂欢,拼多多面临上千万元资产的损失。 一个过期的优惠券漏洞,可能引发出国内资产损失规模最大的黑灰产事件。 1月20日凌晨,有网友称拼多多存在重大BUG,“只需支付4毛钱,就可以充值100元话费”“有大批用户开始媷羊毛,一晚上200多亿都是话费充值”。根据网友晒出的截图,此次拼多多的100元无门槛券全场通用(特殊商品除外),有效期为一年。 对此,拼多多方面向记者表示,当日凌晨有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,拼多多已第一时间修复漏洞,并正对涉事订单进行溯源追踪。“同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。” 对于高达200亿的损失,拼多多相关负责人回应称这一数字不实,“最终还能追回不少,实际资产损失大概率低于千万元。” 对于具体是什么漏洞导致黑灰产团伙盗取优惠券,以及如何追讨资产损失,拼多多方面向记者表示,由于公司正配合警方调查,具体案情暂时无法对外披露,有进一步消息将第一时间对外公布。 拼多多出现重大Bug,引发职业羊毛党狂欢 1月20日凌晨1时左右,拼多多出现100元无门槛券的Bug,而且用户还可以重复领取,部分职业羊毛党发现Bug后迅速行动,开始呼吁周围的朋友一起领取。其后获得足够收益后,这批羊毛党抱着“法不责众”的态度在某论坛上公布这个Bug,引发非羊毛党用户参与。有接近拼多多方面的人士向记者透露,参与此次漏洞的普通用户并不多,资产损失大部分来自黑灰产团队。 值得注意的是,职业羊毛党看中充话费和Q币是自动发货,因此他们将优惠券迅速兑现,并将话费、Q币兑换成现金。对于拼多多而言,能否向三大运营商以及腾讯追讨这一次损失成疑。 新京报记者发现,在《拼多多服务协议》7.1禁止行为中,用户使用拼多多平台外挂和/或利用拼多多平台当中的Bug来获得不正当的利益赫然在列。但另一方面,拼多多发言人称其系统不存在安全漏洞,此黑灰产是利用“规则漏洞”薅走优惠券的,至于“规则漏洞”属不属于“平台Bug”,新京报记者向拼多多方面求证,但截至发稿尚未得到回复。 电子商务研究中心主任曹磊指出,此次拼多多出现这个漏洞,有两种可能,一种可能是平台出现业务策略漏洞,另一种可能是遭到有预谋的黑灰产组织操作。 后续:向受影响用户发放5元优惠券,禁止部分商家发货 由于出现Bug被用户“褥羊毛”的现象,在国内互联网行业中时有发生。 2018年元旦期间,腾讯视频发起优惠充值活动,但因为活动服务器后台数据出现异常,有部分用户在充值一个月时出现应该支付优惠价18元实际仅被扣费0.2元的状况。当时这一漏洞共引来39万用户参与。 其后腾讯发布公告称,这是公司的工作失误,公司将这些异常订单全部兑现,且不再扣费。最终,腾讯为这个Bug付出超过5000万元的代价,但同时赢得网友的好评。 拼多多在发现漏洞后,于当日早上9时左右紧急将所有优惠券的领取方式下架,同时还取消了用户已领取但未使用的优惠券,记者留意到,当时拼多多还对App进行了优化更新。为了补偿用户,拼多多向受影响用户发放5元无门槛优惠券,有效期为50年。 对于拼多多紧急下架优惠券的行为,曹磊认为,从法律责任认定和用户权益保护角度出发,如果是平台主动推出的活动,那么应按照官方说明来兑现承诺,也就相当于在线跟用户签订协议,平台当然要执行。“但拼多多相关声明已经显示,用户是通过一个过期的优惠券漏洞盗取了优惠券。根据《合同法》相关规定,拼多多取消或收回优惠券是不需要承担法律责任的,从情感上也能够理解。” 他表示,如果此次拼多多出现优惠券漏洞是黑产羊毛党恶意行为,这类交易属于存在“重大误解”订立的合同,“(拼多多)是可以要求撤销的。” 北京康达律师事务所律师韩骁亦认为,拼多多回收已经领取但还没有使用的优惠券,这一做法并不会和刚出台的《电商法》相冲突。 根据《电商法》第三十条规定,电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行,防范网络违法犯罪活动,有效应对网络安全事件,保障电子商务交易安全。电子商务平台经营者应当制定网络安全事件应急预案,发生网络安全事件时,应当立即启动应急预案,采取相应的补救措施,并向有关主管部门报告。 韩骁表示,在此次事件中,拼多多采用回收已领取但未使用的优惠券这一方式来应对,属于合理的补救措施,“可以说是有效应对了该网络安全事件,并不违反《电商法》的规定。” 另据记者了解到,当日早上11时左右,拼多多的工作人员已经向部分商家发出通知,凡是已使用100元无门槛券的订单不允许发货。 根据《电商法》第四十九条规定,电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择该商品或者服务并提交订单成功,合同成立。当事人另有约定的,从其约定。电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立;格式条款等含有该内容的,其内容无效。 曹磊向记者表示,拼多多这一做法与《电商法》不冲突,这种情况不适用电商法四十九条第2款的规定。“恶意利用系统漏洞获取的优惠券,不能有效地折抵付款中的相应付款义务,所以应该视为未完成付款义务,不受电商法第第四十九条第2款的约束,商家可以不发货。” 而中国政法大学知识产权中心特约研究员赵占领则告诉记者,如果用户已经使用优惠券购买拼多多上第三方商家的商品,用户和商家之间的合同已经成立,拼多多可以去追究用户的责任,但不能阻止商家发货。 专家:拼多多“最基本防薅羊毛手段未设置” 拼多多紧急招聘风控总监 对于拼多多被“褥羊毛”一事,新京报记者采访某反诈骗安全团队专家陈锋(化名)。他表示,有许多手段可以防止平台被恶意“薅羊毛”,包括限制优惠券的总数以及优惠券的应用场景,“比如设置最多10万张券,只能用于满200元的实物订单,再加上最基础的防薅羊毛策略,就能保证不出大问题”。 但根据网友截图,此次事件中拼多多的优惠券属于“无门槛全场通用”,还有网友晒出了充值话费、购买Q币的截图,有的充值金额甚至高达5万元。“在此事件中,拼多多的业务规则出现了问题,最基本的防薅羊毛手段都没有设置。”陈锋称。 新京报记者注意到,拼多多已于当日下午在招聘平台发布多个与风控相关的职位招聘,包括风控总监、风控策略/模型专家等。 律师:薅羊毛党可能涉嫌盗窃罪 但最终要看司法机关定性 在陈锋看来,目前确实存在专业的“羊毛党”,针对不同平台,这些羊毛党拥有注册账号(涉及手机号、接码平台等)、下游支付渠道、清洗转移渠道等,而消息灵通与否以及设备的专业程度则决定了这些羊毛党的收入。 “目前很难有真正预防羊毛党的手段,因为一般来讲,羊毛党带给企业的损失比较小,所以大部分企业不会采用强策略来预防羊毛党。此外,在一些情况下,羊毛党也可以帮助企业进行引流,例如羊毛党通过注册来薅羊毛的行为也帮助企业提升了注册用户的数量,所以有的时候甚至有初创公司故意利用羊毛党来增加注册用户数,反正烧的是投资人的钱。所以羊毛党与企业的关系是很复杂的,不止涉及到带来损失这一点。”陈锋说。 至于薅羊毛黑产是否涉嫌违法犯罪,陈锋表示比较难以判断,“一般而言首先必须有公司报案,而此前的实际案例中,最多的情况可能会协商,协商不成按诈骗来办,但最终是否违法或者犯罪还要看司法机关的定性。” 北京康达律师事务所律师韩骁向记者表示,用户利用系统漏洞大量领取平台的优惠券并以此获利,可能涉嫌盗窃罪,若获利数额达到相关标准,则有可能需要承担刑事责任。不过他强调,如果是平台的普通客户,并非有意识地通过这一安全漏洞大量领取优惠券牟利,而仅领取了数量较少的优惠券,没有盗窃的主观故意,客观上获利也未达到量刑标准,则并不构成盗窃罪。 财报分析:收入激增营销费用大涨 研发费用仅为营销费用1/10 凭借着社交电商全新打法,成立仅三年时间的拼多多已经是国内最成功的独角兽企业之一。投行摩根士丹利近日发布研报,首次把拼多多纳入研究范围,给予“增持”评级,并把目标股价定位29美元。 拼多多的财报显示,去年第三季度,拼多多实现营收33.72亿元,较去年同期增长697%,环比增长24%;去年前三季度共实现74.66亿元营收,较去年同期增长约12倍。 但并不乐观的是,拼多多净亏损进一步扩大,去年第三季度亏损10.98亿元,远高于前年同期的2.21亿元;去年前三季度共亏损77.93亿元,前年同期为5.39亿元。 虽然已经成长为仅次于淘宝、京东之后的第三大电商平台,但拼多多仍继续投入大量的资金拉新,通过冠名综艺节目等方式继续拉动用户增长率和活跃度。财报显示,去年第三季度拼多多的销售及营销费用高达32.3亿元,同比增长655%,主要原因是由于品牌推广活动及线上线下广告及促销活动增加所致。 拼多多狠砸营销费用的另一个重要原因是获客成本在走高。2017年三季度,拼多多单个新用户的获客成本仅13元,但去年上半年已经飙升至55元。 此外,财报显示,当季,拼多多投入的研发费用增加至3.32亿元,较去年同期增长828%,较Q2环比增长80%,平台研发投入占比攀升至9.8%。 值得一提的是,尽管拼多多在去年第三季度投入的研发费用同比增长828%,但其研发费用仅为销售和营销费用的1/10。 新京报记者注意到,拼多多已于1月20日下午在招聘平台发布多个与风控相关的职位招聘,包括风控总监、风控策略/模型专家等。 经过此次事件后,拼多多的研发费用或许将保持高增速。 相关:因出售抢拍软件,两名黑灰产从业员被提起公诉 拼多多此事只是我国互联网黑灰产市场的冰山一角。根据阿里与南都大数据研究院联合发布的《2018网络黑灰产治理研究报告》显示,2017年国内网络安全产业规模为450多亿元,黑灰产却高达近千亿元规模,而且后者的发展更为迅速。 近日记者从中国裁判文书网获悉,2018年有两名黑灰产从业员被河南省郑州市金水区人民检察院提起公诉。 判决书显示,杜某、朱某通过销售“联合抢拍器”,非法获利共计人民币405215元。 根据淘宝安全部门负责黑灰产技术攻防情报工作的吴某陈述,被害单位淘宝网经常会开展限时、限量销售商品的抢购活动,用户可以比平时更加优惠的价格买到一些商品。但杜某、朱某销售的抢拍软件能够自动代替用户定时、大批量下单,而且该软件还通过破解淘宝软件,实现与淘宝服务器的精准对时,从而提高抢拍的效率。 法院认为,杜某、朱某提供专门用于侵入、非法控制计算机信息系统的程序、工具,情节特别严重,其行为均已构成提供侵入、非法控制计算机信息系统程序、工具罪;公诉机关指控杜某、朱某犯提供侵入、非法控制计算机信息系统程序、工具罪罪名成立。 最终,杜某和因犯提供侵入、非法控制计算机信息系统程序、工具罪,被法院判处有期徒刑3年6个月,并处罚金两万元;朱某因犯提供侵入、非法控制计算机信息系统程序、工具罪,被法院判处有期徒刑两年,并处罚金一万元;二人的违法所得依法予以追缴。[详情]
【相关阅读】 拼多多Bug事件始末:涉事金额未透露 是否追回无说法 中国电商第3大巨头拼多多在“羊毛门”中做错了什么? 拼多多Bug惨案中捡钱者该被追责?律师:属于不当得利 拼多多损失上千万能否追回成疑 律师:羊毛党或涉犯罪 除了损失数千万,拼多多漏洞还有诸多谜团 作为体量仅次于阿里及京东的国内第三大电商巨头,美股上市公司拼多多理应具备相应成熟的安全预案,而本次优惠券BUG事件则至少反映出该平台仍存在风控短板。眼下系统虽已修复,但与之相关的多个问题仍悬而未解。 记者 崔鹏 疑似黑产军团已杀向拼多多。 1月20日上午,大量网友在社交平台发布消息称,从当日凌晨开始,拼多多平台上出现重大BUG,用户可以直接领取100元无门槛优惠券。这一BUG被“羊毛党”发现后迅速在网络传播,直至当日上午10点左右,系统才被官方修复,相关优惠券被全部下架。 一时间,各种传言开始在网络上散布,比如拼多多一夜损失200亿元,用户“薅羊毛”充话费或Q币被拼多多客服威胁起诉等,后来都被证实为谣言。 拼多多官方表示,有黑灰产团伙通过一个过期的优惠券漏洞,盗取数千万元平台优惠券,进行不正当牟利,平台已第一时间修复漏洞,并对涉事订单进行溯源追踪,同时已向公安机关报案。 官方声明无法阻挡网友议论的热情,当日拼多多相关话题多次登上新浪微博和百度的热搜榜。不断有网友在社交平台上晒出成千上万元的话费和Q币充值记录,部分用户为应对潜在的拼多多追责风险,声称已将Q币消费,转换为游戏道具交易出手。 在这场“羊毛党”和疑似黑产势力的狂欢中,有很多令人好奇的地方。包括漏洞到底何时被发现,中间漫长的业务链条中哪个环节出了问题,拼多多又做了怎样的处理,受影响的商户有多少等等。 对于上述问题,截至本文发稿,仍无明确说法。拼多多在回复《中国企业家》记者问询时回应称,警方调查期间,暂时不方便披露案件相关细节,后续有最新进展会第一时间跟大家同步。 有别于以往的三大特点 从目前公开信息看,本次拼多多优惠券有几个问题较为特殊。 首先,卡券的领取数量没有上限。 无门槛优惠券,与常见的“满减”优惠券不同。后者能借助少量补贴拉动大量用户消费,有助于电商平台完成GMV等主要经营数据;而前者不需要用户进行任何额外消费,几乎等同于给用户“送钱”。 所以通常全场通用的无门槛优惠券都会进行领取限制,比如针对同一账号、手机号和设备ID等进行购买数量限制。在现有的拼多多其他优惠券中,也标注着“如有发现恶意刷券等违规行为,平台有权在法律范围内进行相应处理”等字样。 但拼多多似乎并未设置本次优惠券的领取上限,加上该优惠券不是传统的“抢购”设置,而是随意领取,这也直接导致拼多多官方口径中的“数千万元”资损产生。 其次,无门槛优惠券能兑换虚拟商品。 电商平台从业者刘昕(化名)告诉《中国企业家》,一般来说,无门槛优惠券不能兑换虚拟产品(包括话费、Q币、游戏点卡等)以及金银等贵金属投资品。从各大平台实际情况看,全场通用的优惠券通常会标注“虚拟商品除外”字样。 虚拟商品交易是网络黑产的惯用洗钱手法,所以被各大电商平台所重视,在优惠券使用范围上进行严格限制。同时,禁止兑换虚拟商品,也便于追踪黑产身份,毕竟实物商品需要邮寄地址。 本次事件里,拼多多优惠券却可以无障碍兑换前述虚拟商品。在采访过程中,诸多从业者对此表示惊讶。 最后,无门槛优惠券金额为何如此大。 与普通满减优惠券不同,无门槛优惠券的金额通常都不大,尤其是能兑换虚拟商品的优惠券,额度在个位数的较多。在京东和淘宝等平台,话费优惠券一般不超过5元。 而本次拼多多的优惠券面额为100元,这类大额无门槛优惠券并不属于常见类型。尤其是考虑到其不设上限的领取数量,它在设计、测试、上线、风控等多个流程中,应该都有严格的安全保护措施,以及错误预警和处理方案。 对于拼多多这样一家体量仅次于阿里和京东的电商巨头来说,这次优惠券事件对它的技术和安全口碑无疑会产生影响。 “薅了羊毛”的用户怎么办 另外一个被广泛关心的问题是,那些“薅羊毛”的普通用户,拼多多该如何处理。目前平台方未就此作进一步说明。 与涉嫌违法犯罪的网络黑产不同,“薅羊毛”行为在互联网用户间较为常见。此前其他公司也遇到过类似漏洞,一般在确认系平台工作失误并且损失不大的情况下,会选择自我承担损失。 2017年12月31日,腾讯视频曾被曝出系统BUG,用户仅需支付0.2元就能获得价值20元的视频会员,并且同一账户可以多次购买。该漏洞出现后半小时,腾讯便发现并将其关闭,但即便如此,仍有39万名用户参与,生成订单287万笔,简单计算可知腾讯视频因此损失超过5600万元会员费。 2018年1月5日,在最终调查结束后,腾讯视频宣布该问题由其工作失误所致,用户购买的异常订单,腾讯将全部兑现,并不再扣费。 不过,自2019年1月1日起正式施行的《电子商务法》第四十九条有如下规定: 电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择该商品或者服务并提交订单成功,合同成立。当事人另有约定的,从其约定。 电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立;格式条款等含有该内容的,其内容无效。 查阅拼多多《拼多多服务协议》可知,在“用户守则”之下,包含有“禁止使用拼多多平台外挂和/或利用拼多多平台当中的BUG来获得不正当的利益”的约定内容。 上海大邦律师事务所高级合伙人游云庭告诉《中国企业家》,从目前披露的信息来看,这是一起民事案件,而不是刑事案件,它属于平台自己产品设计的问题,而不是黑客攻击导致,如果拼多多需要维权,这次事件法律上可能构成“重大误解”。 根据《民法通则》,重大误解,指的是一方当事人因自己的过错导致对合同的内容等发生误解而订立了合同。重大误解行为,在法律上属于可撤销行为,但一般行使撤销权需要通过法院进行。 实际上,法院为了保护交易安全,在“重大误解”的案件判决上非常谨慎,如果只是一两百元的小额事件不会轻易判决。 游云庭认为,如果用户没有使用优惠券,拼多多禁止其使用并无问题,但如果用户已经将优惠券消费掉,拼多多、中国移动、腾讯等公司不应该在法院没有判决前直接冻结相关交易。 网络黑产阴魂不散? 事件远未终结。 作为一家美股上市公司,拼多多需要在本季度财报中披露这次漏洞事件所带来的实际损失数据。优惠券如果用于平台自营商品,需要在财报中计算为销售成本,优惠券用户第三方商户,则计算为营销成本。 财报显示,2018年第三季度,拼多多营收为33.72亿元,归属于普通股股东的净亏损为10.98亿元。从这个数据来看,若本次事件中最终损失数千万元,对拼多多来说影响不小。 与此前腾讯视频和东航等公司的BUG事件不同,本次拼多多对外表示有网络黑产势力牵扯进入。 利用公司业务漏洞而进行违规操作,在网络黑产行为中所占的比例并不小。 腾讯安全向《中国企业家》出示的数据显示,截至2018年年底,腾讯综合安全服务平台受理的用户有效举报超过1247万次,受理举报打击最多的类型为诈骗,其次是黄赌毒,第三就是违规使用腾讯业务,占比为8%,按数字计算接近百万级。 对于P2P和电商等行业而言,与网络黑产的斗争是一项长期而复杂的工程,各家公司尤其是巨头都非常重视,有一套相对完整的应对流程,拼多多也理应有充足准备。 本次事件中暴露出的诸多谜团,有待拼多多披露更多新消息来揭开。[详情]
拼多多刷屏事件启示:新名词黑灰产意外走红,谣言比薅羊毛更容易传播 Wind资讯 昨天,3亿人都在用的拼多多刷屏了。 这源于一个BUG。 20日凌晨网友发现大BUG 1月20日凌晨,拼多多出现巨大漏洞,用户可以随意领取100元无门槛券,而且还能使用次数还不受限制。 巨大的“惊喜”引发大批用户开启“薅羊毛”的节奏,有的人用0.4元就可以冲100块话费,疯狂者“一夜未眠”,利用这一漏洞给自己储备好了够用十几年的话费,还有的冲了Q币,并且晒出自己账户内有超过50万Q币余额。 有的人半夜被叫起来薅羊毛。 有消息称,专职薅羊毛的人发现了这个大BUG,害怕“进去过年”于是把领券方式公布于众。 薅羊毛活动止于20日上午 事情经过一夜发酵,到了20日上午9点多,拼多多才修复了BUG,撤消了100元优惠券。之前领到未使用的优惠券也全部下架。 没赶上的人捶胸顿足,表示“错过一个亿”。收回优惠券后,拼多多官方微博下面都是前来表达不满的网友,有表示“我的无门槛100元券为什么不能用”“欺骗消费者”“315见”的,但也有表示“本来就够惨了,还要别人倒闭不成”“只能证明你们太慢了”的。 网上亦有疑似拼多多内部截图称,希望所有商家不要发货:“今天内技术会全部砍单,所有商家不要发货,发了货的马上追回包裹,降低损失。平台会给消费者补偿5元无门槛券”。 拼多多第一次回应:已报案 1月20日中午,拼多多方面表示,1月20日凌晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。 此外,拼多多表示:“针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。” 在拼多多的官方声明中,提到“有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。”有些网友产生疑惑,什么是黑灰产? 黑灰产 对于网络黑灰产,有些人比较陌生。 在2018年10月9日,中国青年报发表的文章《网络黑灰产已近千亿,个人信息泄露是源头》中指出,所谓网络黑灰产,指的是电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。稍有不同的是,“黑产”指的是直接触犯国家法律的网络犯罪,“灰产”则是游走在法律边缘,往往为“黑产”提供辅助的争议行为。 网络黑灰产已近千亿规模。据南都大数据研究院等机构发布的《2018网络黑灰产治理研究报告》估算,2017年我国网络安全产业规模为450多亿元,而黑灰产已达近千亿元规模;全年因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元,而且电信诈骗案每年以20%~30%的速度在增长。 该报告还指出,黑灰产共有四种类型:虚假账号注册等源头性黑灰产;用于进行非法交易、交流的平台;木马植入、钓鱼网站、各类恶意软件等;大多以恶意注册、虚假认证、盗号等形式实现的网络黑账号。 另据阿里安全归零实验室统计,2017年4月至12月共监测到电信诈骗数十万起,案发资金损失过亿元,涉及受害人员数万人,电信诈骗案件居高不下,规模化不断升级。2018年,活跃的专业技术黑灰产平台多达数百个。 中国青年报在文章中指出,在电信诈骗等许多网络黑灰产行为中,用户的个人信息是源头之一。 那么黑灰产怎么进行盈利的,对此,InfoQ在文章中指出,撞库和垃圾注册是其盈利的两个手段。 黑产的现状及常用的盈利手段是什么? 这里给出三个数字: 第一个数字是 150 万,这是 2017 年网络安全生态峰会上评估出的黑产从业人员的人数。跟这个人数相比,目前业界顶尖公司中安全从业人员最多不过千余人,与黑产对比可谓凤毛麟角。 第二个数字是千亿,这是网络安全生态峰会上评估的黑产年产值。根据 2017 年的腾讯阿里两家巨头的财报,两家公司净利润总和接近千亿元,黑产的年产值基本可以与这两家巨头公司并驾齐驱。 第三个是 20%,这是根据我们之前经验评估的营销活动的资损率。举例来说比如要做一个新注册的拉新活动,投了 100 万去吸引用户,最后会发现至少有 20 万会进入到黑产的口袋里。 黑产的盈利场景是什么? 第一种是撞库,就是把其他平台泄露的一些用户名和密码,不停地拿到另外一些平台上去试,如果登录成功之后首先会窃取账号内的资产信息,之后会使用窃取的账号去做一些薅羊毛等相关的事情。 第二种是垃圾注册,黑产要盈利必须要有海量的帐号,黑产会注册成千上万个小号来为后续的活动进行准备,这是万恶之源。 黑灰产遭到各方严厉打击。工信部网络安全管理局网络与数据安全管理处副处长袁春阳也曾表示,数据安全与个人信息保护问题涉及移动互联网的多个环节,需要加强产业合作,强化协同安全,有关企业要切实履行主体安全责任,相关行业组织和安全厂商,要发挥组织和技术优势,健全完善行业自律和网络安全协作机制,共筑网络安全防线,共同提高网络安全保障合力。 比薅羊毛传播更快的是谣言 有人表示,此次拼多多出现的百元优惠券BUG给拼多多造成的损失达到200亿元。这个数据顿时震惊全网。 Wind数据显示,拼多多2017年财报显示一整年的营业收入仅为17.44亿元,2018年前三季度总营收为74.66亿元,机构预测2018年全年总营收为120.68亿元。 拼多多一夜之间损失了超过两年的总营收?!这确实让人震惊。不过这一消息很快得到辟谣。 据财经网报道,1月20日,针对市场中传言拼多多“因为灰黑产被薅走200亿”的谣言不胫而走。对此拼多多发言人表示,实际最终资损或低于千万元人民币。但让人惊讶的是,比薅羊毛更快的是“资损200亿”谣言的传播速度。 除了200亿的谣言,还有说整个部门年终奖取消的消息。(已经证实为谣言) 还有许多谣言,诸如截图号称是拼多多公关部门多多哥,希望用户撤回已下单的交易;电白法院开庭等。 谣言满天飞,1月20日18点左右,拼多多在微博上进行集中辟谣。 辟谣归辟谣,截至目前,拼多多并没有透露最终损失金额,另外网友关注的焦点,已经下单成功的交易是否撤回还没有等到官方答复。 BUG造成的损失该谁承担? 如此高额的无门槛抵用券,即便只是用常识判断,也明白是出现Bug了。 但是,如果拼多多要求撤销因漏洞产生的优惠券,是否有法律依据?两者的利益该如何平衡? 类似的事件并不少见,但是电商平台一般都是自掏腰包,满足用户的需求。 腾讯视频“0.2元开通VIP”处理:异常订单全部兑现,且不再扣费。 东航0.4折白菜机票bug:全部有效,并请一位用户参加接机仪式。 据新《电商法》第四十九条:“电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择该商品或者服务并提交订单成功,合同成立。当事人另有约定的,从其约定。电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立;格式条款等含有该内容的,其内容无效。” 也就是说,消费者付款以后,商家不能用“格式条款等方式”约定付款后合同不成立的。 拼多多的用户守则中同样规定,用户不得“利用拼多多平台外挂和/或利用拼多多平台当中的BUG来获得不正当的利益”。 (本文综合自钛媒体、InfoQ、虎嗅网、中国基金报、中国青年报等)[详情]
来源:吴晓波频道 大数据行业一直在忽略、回避和否认数据伦理问题。忽略的原因就是害怕:害怕一检查就露出破绽,害怕过度关注伦理会扼杀创新,害怕伦理问题太过棘手而无从解决。 ——《数据的本质》 文 / 巴九灵(微信公众号:吴晓波频道) 互联网时代,民间出现了一个神秘组织——“薅羊毛群”。在刚刚过去的周末,他们又开始行动了。 1月20日凌晨,拼多多App因技术漏洞,用户可以领取100元无门槛券。这个消息迅速在“薅羊毛群”散开,大批用户开始用无门槛券充值话费、Q币,购买商品等等。 有网友晒出截图,给自己的账户充值了超过50万的Q币。羊毛薅得太猛,大户们想想不对,万一被抓呢?赶紧呼朋唤友,号召小伙伴一起薅羊毛,希望“法不责众”。 据传,拼多多一夜之间被薅走200亿。 昨天早上,拼多多发声明称:被盗取数千万平台优惠券,第一时间修补了漏洞,目前已经报案,正对涉事订单进行溯源追踪。 据网络流传的图片,拼多多要求,使用了100元无门槛券的商品,所有商家不要发货,平台会给消费者补偿5元无门槛券。还有网友表示,目前账户内的100元无门槛券已被拼多多官方回收。 一个Bug引发一场惨案,令人惋惜。不过,拼多多绝非个例。 ① 2018年年初,腾讯视频因技术漏洞,充值会员每月仅需0.2元,由此产生了287万笔异常订单,腾讯最后选择悉数兑现。 ② 2019年1月7日,爱彼迎App出现汇率漏洞,货币变化金额不变,一间87美元的民宿实际支付为87元人民币。 最后,爱彼迎承担了入住日期在1月13日之前的订单差额;对于订单入住日期在1月13日当日及之后的房客,可选择补款或退款,并获得旅行基金补偿。 从以往的案例来看,损失未必能悉数追回,多数由平台方自己买单。 由此,拼多多的Bug引发了一场大讨论,后续问题该如何解决?在人工智能时代,Bug会引发怎么样的危机?在技术与人性的冲突中,善恶又该如何分辨?我们邀请了几个大头,来看看他们的分析。 涂子沛 大数据专家、前阿里巴巴集团副总裁 著有《大数据》《数据之巅》《数文明》 人工智能连基本的常识都不具备 一旦犯错误,将导致灾难 新经济是由数据、算法以及严密逻辑构建而成的虚拟经济体。在这个经济体当中,人工智能具有重要位置,但问题是,今天的人工智能在很多场景下连基本的常识都不具备,它一旦犯错误,就会成为一个灾难级的错误。 目前传言的200亿是推算,至于具体是多少,是只有拼多多自己知道的商业秘密。 在传统的百货商场,一个售货员不可能错误发放如此多优惠券,但如果真的犯了这种错误,一张券可以经由一个人传给另外一个人,因为没有数据化,就无法追踪。 售货员不可能错误发放如此多优惠券 一旦犯错也就无法追踪 而大数据时代的优势在于一切已经数据化,完全可以追踪。拼多多可以和已经领券的消费者磋商,弥补损失。所以,新旧两种经济体皆有利弊。 在大数据时代,需要算法、程序做到百密而无一疏,那这一疏出现了又该怎么办?好在一切都数据化了。拼多多知道谁领了优惠券,还可以采取补救措施,也可以回收尚未使用的优惠券。 事实上,淘宝等平台曾经也出现过此类问题,作为电商平台,拼多多还是有一系列措施来防止这类问题。 比如,对优惠券的使用时间加以限制,还可以对购买物品加以限制,设置权限只能购买实体物品,不能购买虚拟商品,例如电话充值等等。采取这些限制性的措施,能防止小Bug被无限放大,从而使自己获得一些腾挪的时间和空间。 张延来 浙江垦丁律师事务所主任 消费者利用系统漏洞获取无门槛券 法律上属于不当得利 拼多多有权追回损失 对于系统Bug的界定,主要看系统是否按照平台规则或者正常使用目的发放无门槛券,明显超出规则范围或使用目的的,应该认定为系统Bug。 系统 Bug 最终还是由人的错误所导致,当前法律对“重大误解”“显失公平”等情况下缔结的合同都有所规定,可以有效进行救济。对于恶意利用系统漏洞从事违法行为,也有相应的惩罚措施。 消费者利用漏洞获取无门槛券,使用无门槛券购买商品,拼多多针对这一情况,限制商家发货,也属于合法的救济措施。 拼多多限制商家发货 属于合法的救济措施 总体而言,被重复领取的无门槛券,在法律上不应该对平台和商家产生约束力,拼多多无须履行对应的义务,可以将其回收。 张书乐 TMT行业时评人 拼多多会完蛋? 不,相反它可能也会薅把羊毛 拼多多被薅羊毛事件发生后,很多人问:200亿的疑似损失,会让拼多多完蛋吗? 尽管以往类似的电商Bug,往往都是平台方自己买单。 尽管拼多多用户守则中说:用户不得“利用拼多多平台外挂和/或利用拼多多平台当中的Bug来获得不正当的利益”。 但电商法也有明确规定:第四十九条显示“电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立;格式条款等含有该内容的,其内容无效”。 所以,拼多多会否成为电商法推出执行后的第一个典型案例? 我认为,或许不会。 此次的Bug过于重大,以至于可能颠覆一个平台的生存。而且,这样的“薅羊毛”行动,本身是非对错一目了然,包括薅羊毛成功的普通消费者自己。 因此,经过这一“损失”,悲剧了的拼多多势必得到业界和庞大用户群体的同情,其取消未使用优惠券的行为,以及对其言说的黑产者的追讨,都不会影响对其平台口碑。 更有甚者,对部分恶意充值和消费的用户,取消合同约定,未尝不是一种可执行、却不落埋怨的行为。拼多多或许会因此被少数消费者诉讼,但官司的前景应该对拼多多有利。 反之,通过补偿无门槛券之类的方式,应该也能赢得部分消费者,特别是凌晨新加入的薅羊毛的普通消费者的一定好感,顺便获得一定的同情分和用户黏性,形成一种拼多多悲情薅羊毛的格局。 换言之,此次Bug之后,如果拼多多平安度过,并用小惠来补偿消费者,它将薅到大把用户羊毛,尤其是新用户。关键看它自己的危机公关段位和节奏是否把握得好。 毕竟,如果真如网友描述,在这次的事件中,“有的大牛领了上千张100元无门槛券,怕被抓进去于是把领券方式公布于众”,希望最终形成“法不责众”的结局。 这样的行为,某种意义上也是整个商业社会所不乐意面对的。也相信大多数人都不希望“秩序”荡然无存。[详情]
【相关阅读】 拼多多漏洞事件损失数千万 “薅了羊毛”的用户怎么办? 拼多多Bug事件始末:涉事金额未透露 是否追回无说法 拼多多Bug惨案中捡钱者该被追责?律师:属于不当得利 拼多多损失上千万能否追回成疑 律师:羊毛党或涉犯罪 一夜之间深陷“羊毛门”,中国电商第三大巨头拼多多怎么了? 来源:江瀚视野观察 2019年1月20日,本来这是一个祥和的周末,大家都进入了过年的冲刺阶段,然而中国的上市系电商巨头拼多多却被曝出了大事,这就是拼多多被薅羊毛了,而且最大的传言还是被薅羊毛200多亿?作为上市的电商巨头,拼多多到底错在哪里? 一、拼多多一觉醒来被薅“200多亿”羊毛? 根据中国经济网的报道,1月20日凌晨,拼多多被曝出现重大bug,用户可领100元无门槛券在拼多多里抵扣使用。根据网友晒出的截图,此次拼多多的100元无门槛券全场通用(特殊商品除外),有效期为一年。 有网友表示,凌晨3点多被“喊醒”,一起去拼多多“薅羊毛”,“只需支付4毛钱,就可以充值100元话费”。也有消息称,是专职羊毛党发现了这个大bug,有的人已经领了上千张100元无门槛券,怕被抓进去于是把领券方式公布于众,于是这才有大批用户开启了“薅羊毛”的节奏。一直到1月20日上午10点,拼多多的这个bug才算被修复。 针对BUG事件,拼多多方面接受《中国经营报》采访回应称,“1月20日凌晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。” 众所周知,拼多多是中国2018年上市最大的电商巨头之一,2018年7月26日拼多多在美国纳斯达克上市,开盘价26.5美元,较19美元的发行价上涨39.47%。按开盘价计算,拼多多市值达到293.56亿美元。截至2019年1月18日收盘,拼多多的股价是24.99美元,总市值276.84亿美元。根据互联网的公开数据,拼多多已经成为全中国交易量第三大的电商平台。 根据虎嗅的数据显示,2018年拼多多也持续的在扩大它的市场份额,数据显示2018 Q4 季度拼多多的市场份额(只包含阿里,京东,拼多多)预期达到7.6%,相比2018 Q3扩大1.3%。而2018Q4京东的市场份额(只包含阿里,京东,拼多多)预计下降1.4%,阿里系市场份额预计持平2018 Q3 水平。 如此巨大的电商平台,碰到这么庞大的bug事件,拼多多到底做错了什么? 二、拼多多到底做错了什么? 说实在作为一个电商平台来说被薅羊毛其实也不算是什么新鲜事,自从中国电商产业开始采用烧钱方式进行优惠补贴开始,羊毛党就已经出现了,根据市场一般的观点认为,只要这个优惠的幅度能够达到15%也就是我们常说的85折以上,羊毛党就会有利可图,然而面对着各大电商平台少则六七折多则三四折的优惠活动,羊毛党更是屡见不鲜,不过像拼多多如此金额巨大,并且持续时间之长似乎是非常罕见。作为中国最大的电商平台之一,拼多多到底做错了什么? 一是作为高新技术企业为什么漏洞修复如此之慢?相信所有懂点技术的人都知道,各大互联网公司都自诩自己是高科技企业,根据启信宝的数据显示,拼多多是属于软件和信息技术服务业,作为这样的企业,技术几乎是企业生存的根基,而作为一家高科技企业,出现bug并不是什么罕见的事情,这太正常不过。然而,这个bug从1月19日晚上一直持续到1月20日上午十点,这么长的时间,拼多多的技术部门到底干什么去了?这让人不禁有这样的一个联想,有没有可能是拼多多已经发现技术bug,但是想要借此炒作一波从而吸足流量,等到时候再来报一个技术bug就可以实现流量激增的目的了,截至1月20日晚间拼多多的新浪微博热搜和百度实时热点始终位于前五之列。 二是企业公关体系为什么毫无反应?基本上所有的中国互联网公司都有自己的舆情公关体系,这些体系几乎24小时监控着互联网一旦出现有关自己公司的负面信息,舆情公关体系应该在短时间内迅速做出反应,对内协调技术部门解决技术问题,对外向公众发布信息以正视听,然而拼多多的公关体系似乎在整件事的过程中完全没有存在感。如果说拼多多还没有上市,公关做的不好还情有可原,然而拼多多已经上市半年多了,拼多多早就成为了一个社会公共企业,一个社会公共企业的公关应对如此之差,不得不让人对拼多多的企业管理产生怀疑了。 三是企业的危机应对到底该怎么做?现在市场上关于拼多多的损失金额到底是多少有两种说法,一种是损失已经超过200亿了,另一种则是损失不足千万,其实无论哪种说法其实都需要企业的危机应对,如果损失超过200亿这样的损失的确是难以弥补,企业选择不认似乎也说的过去。如果损失不足千万的话,我们看到之前像京东、苏宁、腾讯、东航、支付宝似乎都曾经出现过系统bug导致优惠信息出错的情况,这个时候几乎所有企业都选择了在第一时间进行危机应对,然后采用自认错误为危机买单从而提振市场信心的做法。但是一直到了1月20日的晚上20点,拼多多似乎并没有危机应对的策略,连一句认错道歉的说明都没有,这样的危机应对的缓慢实在是说不过去。 四是拼多多此次出事会怎么影响股市?作为一家上市公司,拼多多的任何大事都将对其股价产生直接的影响,一旦拼多多的bug问题属实,将会出现两个潜在的风险,首先是拼多多虽然没有出现较大的损失,但是这件事暴露出的拼多多的技术弊端将会给市场信心带来严重的冲击。其次,如果拼多多因此造成了较大的经济损失,将会直接拖累拼多多的股价。所以,无论哪一种估计1月21日美股开盘的时候,拼多多的股价实在是让人难以看好。 对于拼多多来说,一个小的技术bug其实不算什么,但是对于一家上市高新技术公共公司来说,拼多多在技术、公关、应急方面所需要做的事情还有太多太多了。 每日一句我们也许会信服夜晚的风、空气,我们抬头望见的星星,但论争不会使我们信服。——博尔赫斯[详情]
你们薅了拼多多羊毛几千万 是否要还回去?律师说法来了 每日经济新闻 和许多“羊毛党”一样,网友小A今晨利用拼多多bug,薅走拼多多“羊毛”,利用领取的100元无门槛优惠券购买了商品。但看到拼多多报警的消息后,心里正在忐忑不安之际,却已被拼多多单方面关闭订单(实物订单),退回了已支付金额。拼多多还公告称,平台消费者原本正常领取的优惠券不受影响。 而你使用优惠券充值了话费和购买了Q币的订单,拼多多将怎么处理?是否会联手腾讯冻结你的Q币余额?毕竟腾讯控股是拼多多第二大股东。 事件还原:“羊毛党”利用拼多多bug疯狂充话费和买Q币 1月20日凌晨,拼多多被曝出现巨大漏洞,用户可领100元无门槛券,有大批用户凌晨上线“薅羊毛”,利用无门槛券充值话费、买Q币,充100元话费只需要0.44元。 网络截图显示,有人充的话费已够用10几年,还有人晒图表示已买了90多万元Q币。 网络疯传:昨夜今晨,拼多多被“羊毛党”利用bug薅走200亿。 市值260多亿美元的拼多多被薅走200亿人民币是什么概念?拼多多2018年1-3季度累计营业收入才75亿元人民币,2017年全年才17亿元人民币。200亿比10个2017年的营业收入还要多。有网友因此担心,没有被“假货漩涡”洗白的拼多多,会不会因这次bug而一夜倒闭。 但从今天拼拼多公告来看,其表示被盗取了数千万元平台优惠券。 拼多多同时公告称,平台消费者原本正常领取的优惠券不受影响: 1月20日晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。目前平台正对涉事订单进行溯源追踪,并将根据警方调查结果对相关订单做出最终处理。 平台消费者原本正常领取的优惠券不受影响,感谢您的理解。 是200亿还是数千万,大众暂时无法得知。据《每日经济新闻》记者观察,有个店铺显示,已经成交了43万单,价值4300万。 是真的出现漏洞被“薅羊毛”,还是进行公关营销,周一看股价就能见分晓。 羊毛党的反击:请拼多多履行合同义务 但是,许多参与薅羊毛”的网友并不认可拼多多“打击网络黑灰产团伙”的观点,纷纷在拼多多官微留言质疑拼多多搞虚假营销。 更有网友对拼多多单方面关闭订单拒绝发货的行为,表示要进行索赔—— 本人于2019年1月20日上午,通过朋友推荐,网络领取拼多多优惠券100元,使用限制是满100即可使用,购买了各类商品,后拼多多客服联系本人,告知本人此订单的优惠券无效,不能使用,不能发货。本人提出如下意见及索赔: 1、此优惠券是本人在网上正常领取的,并不是通过网络漏洞修改数据非法获取的; 2、拼多多自身技术问题,应该及时补救并且追究当事技术部门和非法黑客的责任,而不是把损失转嫁到消费者身上。 3、优惠券本身能使用,消费者合法的使用了,该网络购买合同已生效。 4、拼多多在未经过本人同意的情况下,擅自更改优惠券使用规则并拒绝发货,违反了《中华人民共和国合同法》相关规定。 本人要求拼多多平台应按合同履行自己的义务,如不能履行,按《中华人民共和国消费者权益保护法》相关规定进行赔偿。 “羊毛党”对与错 律师及警方也各持己见 ● 中国银行法学研究会理事肖飒律师:普通用户应返还不当得利 拼多多可向职业羊毛党索赔 1.对拼多多本身而言,其APP后端出现bug,以致产生巨额亏损,拼多多有权向利用系统漏洞诈骗优惠券的职业羊毛党索赔; 2.普通用户在看到优惠消息之后,进行了相应的虚拟交易等,普通用户不具有识别该类职业诈骗的能力,其对平台亏损不需要承担任何责任。若普通用户知道薅羊毛时是利用过期的优惠券来进行现期产品的购买,则有义务返还不当得利; 3.若有职业羊毛党利用拼多多平台系统漏洞进行虚假的优惠信息宣传,致使平台受损,一方面涉嫌侵入计算机信息系统罪,另一方面利用过期的优惠券来购买现期产品涉嫌盗窃罪等。 ● 四川民科律师事务所主任李孟松:有效合同应受法律保护 一、针对此次事件,首先要看“羊毛党”与拼多多平台之间合同是否成立。 根据《合同法》的规定:“承诺生效时合同成立”。《电子商务法》第四十九条规定:“电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择商品或者服务并提交订单成功,合同成立。当事人另有约定的,从其约定。电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立,格式条款等含有该内容的,其内容无效。” 在本次事件中,用户根据拼多多的优惠活动,选择下单并成功提交订单,双方之间的合同关系已经成立。 二、其次,合同是否有效。 根据《合同法》的规定,合同无效的几种情形:(1)一方以欺诈、胁迫的手段订立合同,损害国家利益;(2)恶意串通,损害国家、集体或者第三人利益;(3)以合法形式掩盖非法目的;(4)损害社会公共利益;(5)违反法律、行政法规的强制性规定。也就是说,若不存在这些情形,那么合同便是有效的,应该受到法律的保护。 三、关于格式条款是否有效。 《拼多多服务协议》的用户守则“禁止行为第五条”:使用拼多多平台外挂或利用拼多多平台当中的bug来获得不正当的利益。 该条款属于格式条款,根据《合同法》的规定:提供格式条款的一方免除自身的责任,加重对方的责任、排除对方的主要权利的,则该条款无效;除此之外,提供格式条款的一方还必须充分履行提示和说明义务。 《消费者权益保护法》规定:经营者不得以格式条款、通知、声明、店堂告示等方式,作出排除或者限制消费者权利、减轻或者免除经营者责任、加重消费者责任等对消费者不公平、不合理的规定,不得利用格式条款并借助技术手段强制交易。 因此,拼多多所提供的格式条款是否有效,需要结合其是否尽到了提示说明的义务、是否免除自身责任、加重了对方责任等情况具体判断。 四、是否涉及犯罪。 本次事件,应区别对待消费和盈利。一些用户通过拼多多bug为自己账户充值,对此涉及犯罪的可能性很小;但若想通过次bug来盈利,那么便有可能涉及到犯罪了。 ● 警方:拼多多被薅羊毛或是涉嫌欺诈罪的刑事问题 针对此次事件,澎湃新闻报道称,上海公安部门表示,如果真的是有黑产羊毛党恶意搞拼多多,那么本次事件是可以被当成欺诈罪处理的刑事问题。 东航、腾讯视频遇同类bug事件 最后认可有效 2018年11月17日凌晨,东航系统被爆出现bug,很多航线的机票折扣极大,部分机票价格仅为50元,多条国内航线头等舱商务舱往返机票,最低只需90元! 一时间,东航bug成了微博热搜。面对这一突发性事件,东方航空是如何应对的呢?人民日报微博发表了题为“东航这波被网友称为教科书式的公关究竟怎么回事”的微博: 与拼多多的反应不同,东航在事后发布通报称,在系统维护时售出的所有机票(支付成功并已出票)全部有效,旅客可正常使用: 无独有偶,2017年12月31日,腾讯视频会员充值出现异常,原本18元的9折充值活动,仅扣费0.2元。财大气粗的腾讯不仅对已充值的用户全部兑现,而且退回了用户被扣的0.2元。 经统计,在12月31日服务器系统异常期间,因0.2元漏洞所产生的订单共计287万笔,涉及39万名用户。腾讯视频将按照上述用户的实际充值时长来完成每一笔订单。如果按每笔订单平均充值一年会员来算,损失超过5个亿。 品牌形象与钱之间 腾讯与拼多多将作何选择? 有网民认为东航、腾讯视频所谓的bug其实是搞的公关营销活动。根据腾讯公布的数据来,如果说是营销活动,从其投入的成本(按损失5亿元会员充值费计算)及获得的品牌效应来看,倒还说得过去。 但拼多多这次是营销吗?拼多多具体被薅走了多少羊毛,公众暂时不得而知,但周一股价可见分晓:如果股价大跌,市值267亿美元,哪怕跌10%,市值将蒸发26亿多美元,这样的营销就太昂贵了。 网上流传的拼多多公关部门与用户的对话显示,拼多多将联手腾讯收回利用优惠券购买了Q币的QQ号。但拼多多在官微进行了辟谣: 图片来源:拼多多官方微信 如果拼多多赖账,联手腾讯追回已售出的Q币金额,可能品牌损失更大,因为除了职业羊毛党,还有许多普通用户也参与了活动。腾讯为了品牌形象,连自己的视频损失5亿充值费用都认了,这一次,腾讯将作何选择?毕竟腾讯是拼多多第二大股东,腾讯控股持有拼多多7.86亿股,占比17.8%。在品牌与钱之间,腾讯又将作何选择?[详情]
在拼多多薅到的“羊毛”该退么? 律师专家:拼多多有权撤销未使用优惠券,如漏洞是自身所致需“背锅” 华西都市报 漫画 杨仕成 1月20日凌晨,网传拼多多出现了严重的漏洞,用户可以领取100元无门槛优惠券。随后,有网友曝出,用领取的优惠券可以充值话费、Q币。上午9点,网友发现拼多多已将相关优惠券全部下架,直至10点左右,该漏洞才被拼多多官方修复。 对此,拼多多向华西都市报、封面新闻记者回应,有“黑灰产”团伙通过一个过期的优惠券漏洞盗取平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时已向公安机关报案,并将积极配合相关部门对涉事“黑灰产”团伙予以打击。 拼多多“优惠券”漏洞事件一时成为焦点,而对于消费者,领取并使用漏洞消费券会被追究法律责任吗?拼多多收回已领取的优惠券是否合理?拼多多的损失应该由谁来承担?针对这些大众所关心的问题,华西都市报、封面新闻记者采访了电子商务方面的有关专家和律师。 拼多多是否有权撤销优惠券? 在本次事件中,拼多多认为由“黑灰产”团伙通过平台漏洞获利,并表示将对涉事订单进行溯源追踪。那么“黑灰产”应该由谁来界定呢? 电子商务研究中心主任曹磊表示:“‘黑灰产’的认定从严格意义上讲,应该由相应的监管部门,或者是公安网监来进行认定。当然,平台方如果能够提供充分有效的证据、材料,也将有助于监管、司法、公安等部门进行认定。” 英冠律所律师钟振宇介绍,《合同法》第186条规定了赠与人享有任意撤销权,即赠与人在赠与财产的权利转移之前可以撤销赠与。其目的就是赋予赠与人与受赠人达成合意后法定要件实现前以悔约权,使赠与人不致因情绪冲动,思虑欠周,贸然应允将不动产等价值贵重物品无偿给与他人。“总体来说,优惠券是属于赠与行为,我认为可以合理撤销。” 曹磊认为,拼多多在公布之后,可能会有少量的用户会退回,但是绝大部分都已经充值或消费掉了,这样追回比较困难。还没使用的可以冻结,以挽回损失。 “薅羊毛”的消费者有错吗? “薅羊毛”的消费者有错吗?法律学者朱巍认为这要分为多种情况。若是涉及人为破坏计算机系统出现漏洞的,属于《刑法》破坏计算机信息系统罪,情节特别严重面临五年以上的刑期。 其次,若是不涉及到人为破坏系统,仅是利用漏洞,这类情形严重的话,实践中涉及盗窃罪、侵害知识产权罪。 再次,除了自己“薅羊毛”,还发布漏洞信息的人,传播这类信息可能涉及到前面罪名的共犯,也可以单独构成传授犯罪方法罪,或构成扰乱市场秩序的行政处罚,这个行为至少会影响到个人信用。 最后,少量“薅羊毛”,一般不构成犯罪,所得属于不当得利,应及时予以返还。不过,若是在事实公布后还继续“薅”的,这就构成盗窃罪。 企业往往自己为此类漏洞买单 事实上,其他平台也出现过类似的漏洞。 去年11月,东方航空App突然出现漏洞,多条国内航线头等舱商务舱往返机票,最低只需90元。广州到上海头等舱120元,经济舱50元,北京广州经济舱60元,广州北京公务舱200元等。对此,东方航空发布公告表示,11月17日凌晨东航在系统维护时售出的所有机票(支付成功并已出票)全部有效,旅客可正常使用。 话费、Q币、会员等虚拟性质的商品往往难以被追回。去年年初,腾讯视频曾出现“0.2元开通VIP”的漏洞,类似事件在京东、苏宁等电商平台也出现过,最终企业都选择了自掏腰包为错误买单。 因此,如果本次拼多多“优惠券”漏洞事件是自身原因所致,估计最终自己的“锅”还是得自己背。 如果漏洞是外部攻击所致,那么企业应该如何防范?曹磊给出了两点建议:一是,要确保平台系统的安全、稳定、可靠,进行多重风险防范,能够抵御相应的攻击,而不会被轻易地破解或者窜改。第二点,在规则上,一定要进行严格的内部试运行,确保没有法律上和运用上的各种漏洞。华西都市报-封面新闻记者雷强[详情]
【相关阅读】 拼多多漏洞事件损失数千万 “薅了羊毛”的用户怎么办? 拼多多Bug事件始末:涉事金额未透露 是否追回无说法 中国电商第3大巨头拼多多在“羊毛门”中做错了什么? 拼多多损失上千万能否追回成疑 律师:羊毛党或涉犯罪 拼多多惨案:Bug翻了运钞车,捡钱者该被追责吗? 来源:吴晓波频道 文 / 巴九灵 互联网时代,民间出现了一个神秘组织——“薅羊毛群”。在刚刚过去的周末,他们又开始行动了。 1月20日凌晨,拼多多App因技术漏洞,用户可以领取100元无门槛券。这个消息迅速在“薅羊毛群”散开,大批用户开始用无门槛券充值话费、Q币,购买商品等等。 有网友晒出截图,给自己的账户充值了超过50万的Q币。羊毛薅得太猛,大户们想想不对,万一被抓呢?赶紧呼朋唤友,号召小伙伴一起薅羊毛,希望“法不责众”。 据传,拼多多一夜之间被薅走200亿。 昨天早上,拼多多发声明称:被盗取数千万平台优惠券,第一时间修补了漏洞,目前已经报案,正对涉事订单进行溯源追踪。 据网络流传的图片,拼多多要求,使用了100元无门槛券的商品,所有商家不要发货,平台会给消费者补偿5元无门槛券。还有网友表示,目前账户内的100元无门槛券已被拼多多官方回收。 一个Bug引发一场惨案,令人惋惜。不过,拼多多绝非个例。 ① 2018年年初,腾讯视频因技术漏洞,充值会员每月仅需0.2元,由此产生了287万笔异常订单,腾讯最后选择悉数兑现。 ② 2019年1月7日,爱彼迎App出现汇率漏洞,货币变化金额不变,一间87美元的民宿实际支付为87元人民币。 最后,爱彼迎承担了入住日期在1月13日之前的订单差额;对于订单入住日期在1月13日当日及之后的房客,可选择补款或退款,并获得旅行基金补偿。 从以往的案例来看,损失未必能悉数追回,多数由平台方自己买单。 由此,拼多多的Bug引发了一场大讨论,后续问题该如何解决?在人工智能时代,Bug会引发怎么样的危机?在技术与人性的冲突中,善恶又该如何分辨?我们邀请了几个大头,来看看他们的分析。 涂子沛 大数据专家、前阿里巴巴集团副总裁 著有《大数据》《数据之巅》《数文明》 人工智能连基本的常识都不具备 一旦犯错误,将导致灾难 新经济是由数据、算法以及严密逻辑构建而成的虚拟经济体。在这个经济体当中,人工智能具有重要位置,但问题是,今天的人工智能在很多场景下连基本的常识都不具备,它一旦犯错误,就会成为一个灾难级的错误。 目前传言的200亿是推算,至于具体是多少,是只有拼多多自己知道的商业秘密。 在传统的百货商场,一个售货员不可能错误发放如此多优惠券,但如果真的犯了这种错误,一张券可以经由一个人传给另外一个人,因为没有数据化,就无法追踪。 售货员不可能错误发放如此多优惠券 一旦犯错也就无法追踪 而大数据时代的优势在于一切已经数据化,完全可以追踪。拼多多可以和已经领券的消费者磋商,弥补损失。所以,新旧两种经济体皆有利弊。 在大数据时代,需要算法、程序做到百密而无一疏,那这一疏出现了又该怎么办?好在一切都数据化了。拼多多知道谁领了优惠券,还可以采取补救措施,也可以回收尚未使用的优惠券。 事实上,淘宝等平台曾经也出现过此类问题,作为电商平台,拼多多还是有一系列措施来防止这类问题。 比如,对优惠券的使用时间加以限制,还可以对购买物品加以限制,设置权限只能购买实体物品,不能购买虚拟商品,例如电话充值等等。采取这些限制性的措施,能防止小Bug被无限放大,从而使自己获得一些腾挪的时间和空间。 张延来 浙江垦丁律师事务所主任 消费者利用系统漏洞获取无门槛券 法律上属于不当得利 拼多多有权追回损失 对于系统Bug的界定,主要看系统是否按照平台规则或者正常使用目的发放无门槛券,明显超出规则范围或使用目的的,应该认定为系统Bug。 系统 Bug 最终还是由人的错误所导致,当前法律对“重大误解”“显失公平”等情况下缔结的合同都有所规定,可以有效进行救济。对于恶意利用系统漏洞从事违法行为,也有相应的惩罚措施。 消费者利用漏洞获取无门槛券,使用无门槛券购买商品,拼多多针对这一情况,限制商家发货,也属于合法的救济措施。 拼多多限制商家发货 属于合法的救济措施 总体而言,被重复领取的无门槛券,在法律上不应该对平台和商家产生约束力,拼多多无须履行对应的义务,可以将其回收。 张书乐 TMT行业时评人 拼多多会完蛋? 不,相反它可能也会薅把羊毛 拼多多被薅羊毛事件发生后,很多人问:200亿的疑似损失,会让拼多多完蛋吗? 尽管以往类似的电商Bug,往往都是平台方自己买单。 尽管拼多多用户守则中说:用户不得“利用拼多多平台外挂和/或利用拼多多平台当中的Bug来获得不正当的利益”。 但电商法也有明确规定:第四十九条显示“电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立;格式条款等含有该内容的,其内容无效”。 所以,拼多多会否成为电商法推出执行后的第一个典型案例? 我认为,或许不会。 此次的Bug过于重大,以至于可能颠覆一个平台的生存。而且,这样的“薅羊毛”行动,本身是非对错一目了然,包括薅羊毛成功的普通消费者自己。 因此,经过这一“损失”,悲剧了的拼多多势必得到业界和庞大用户群体的同情,其取消未使用优惠券的行为,以及对其言说的黑产者的追讨,都不会影响对其平台口碑。 更有甚者,对部分恶意充值和消费的用户,取消合同约定,未尝不是一种可执行、却不落埋怨的行为。拼多多或许会因此被少数消费者诉讼,但官司的前景应该对拼多多有利。 反之,通过补偿无门槛券之类的方式,应该也能赢得部分消费者,特别是凌晨新加入的薅羊毛的普通消费者的一定好感,顺便获得一定的同情分和用户黏性,形成一种拼多多悲情薅羊毛的格局。 换言之,此次Bug之后,如果拼多多平安度过,并用小惠来补偿消费者,它将薅到大把用户羊毛,尤其是新用户。关键看它自己的危机公关段位和节奏是否把握得好。 毕竟,如果真如网友描述,在这次的事件中,“有的大牛领了上千张100元无门槛券,怕被抓进去于是把领券方式公布于众”,希望最终形成“法不责众”的结局。 这样的行为,某种意义上也是整个商业社会所不乐意面对的。也相信大多数人都不希望“秩序”荡然无存。[详情]
拼多多的羊毛还能薅吗?答案都在这里! 原创 邵好 1月20日凌晨,拼多多被曝出现重大Bug,用户可领100元无门槛券。 Bug被发现后,大量用户涌入领取,有消息称,拼多多或因此损失“200亿”。 对此,1月20日午间,拼多多微博客服@拼多多客户服务发布关于“黑灰产通过平台优惠券漏洞不正当牟利”的声明。 声明称: 有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。 一来一回,拼多多被薅羊毛的事情基本清楚了,可故事远没结束—— 没捞着薅羊毛顿足捶胸的、 薅到羊毛心中忐忑的、 买了拼多多股票犹豫要不要砸盘的、 没买拼多多股票琢磨要不要抄底的、 20日下午才睡醒没搞清楚怎么薅羊毛的…… 无论你是哪种情况,请从下面八问八答中找答案。 1、 拼多多被薅了多少? 这个确切的答案恐怕只有拼多多自己知道,而且还是在仔细核算之后。 不过,考虑到这次都是100元的无门槛券,而且可以用于话费、Q币等虚拟资产,预计数额会比过去较为知名的薅羊毛事件要大。 薅羊毛往往利用Bug价买单一商品,如果是实物商品,很快就会因库存不足而缺货,自动结束了薅羊毛行为。 2、 拼多多被薅羊毛为啥受关注? 薅羊毛是电商都会面临的问题,没被薅过羊毛的电商,说明还没入得了消费者的眼。国外的亚马逊,国内的淘宝、京东都曾被薅过,只是这种事情大都发生在草创时期,吃一堑长一智,哪能都长大成人了,还天天跌倒。 这次拼多多被薅羊毛,而且被广泛关注,其实反映了这些年真没出什么新的电商平台,几亿人用的电商平台,就拼多多摔倒了,不看它看谁? 3、 拼多多能不能砍单? 谁能一直不犯错?一旦爆出Bug价,被薅了羊毛怎么办? 行业惯例是“砍单”,直接把用户的订单砍掉,为了堵住用户的嘴,再稍微送点小金额的代金券,这对用户来说也是白得的,一般就算了。 这次拼多多似乎也在采取这种办法,不过这一截图很快被官方否认。 据查,《拼多多服务协议》中确实写明,用户禁止行为包括:使用拼多多平台外挂或利用拼多多平台当中的Bug来获得不正当的利益,此举有损于拼多多和其他用户的合法权益。 4、拼多多真的可以砍单? 虽然拼多多在《拼多多服务协议》写明,用户不得利用Bug价获得不正当利益。 可是,究竟什么叫Bug价?拼多多最为外界熟知的“拼团”、“砍价”,经常出现零元购的情况,如果这种是正常的,那送用户100元无门槛券是否也是正常的? 而且,新《电商法》对消费者几乎不看的格式合同也有明确规定。 “电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择该商品或者服务并提交订单成功,合同成立。当事人另有约定的,从其约定。电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立;格式条款等含有该内容的,其内容无效。” 5、薅到羊毛只能拱手让人? 由于“第一时间修复漏洞,并正对涉事订单进行溯源追踪”,1月20日上午,大批用户反映领到的券被下架了。 那怎么办呢?博学的小编在这里分享一个案例。 2014年,亚马逊曾爆出某扫地机器人的Bug价,价格只有原价的十分之一,很快大量订单涌入,商品下架。此后,亚马逊也给出了解决方案,砍单。 与一般Bug价被砍单不同,这次的消费者选择走集体诉讼方式解决。经过长达两年多的诉讼,两次判决,最终北京市第三中级人民法院判决,亚马逊一方败诉。在此期间,亚马逊还因此被北京工商局罚款50万元。 判决认为亚马逊方有责任原因为: 来源:北京市第三中级人民法院民事判决书 6、别家被薅了,一般怎么办? Bug价一般有比较大的舆论传播度,大部分商家权衡之后,会因势利导,大方确认这些Bug,借机做一波宣传,也增加自己“诚信好商家”的含金量。 例如,腾讯、东航 7、薅羊毛违法么? 无论是拼多多的声明,还是撸几十万的大牛,都提到了一件事,利用Bug赚得太多可能违法。 可事实真的是这样么? 从前述亚马逊案例的表述中可以看出,当时按照十分之一价格买扫地机器人的消费者,非但没有被判违法,还获得了法院的支持。 不过,也有相反案例,2017年,上海市公安局曾通报一起通过企业红包软件套取50万元奖励的违法行为,29名犯罪嫌疑人被捕。这里的违法行为是,利用企业漏洞通过虚拟定位、注册多个账号等方式刷红包获利。 大致可以这么区分,如果仅仅是个人用户,在平台规则下,领券、下单,是受到法律支持的。如果发现了Bug价,蓄意编造更多虚假账号下单,这恐怕是不行的。 8、还能做什么? 黄铮,开心点,总算进入能被薅羊毛的阵营了。 涉事员工,给老板看这一条微信,他一高兴,你的年终奖可能不会被扣光。 技术部门,以后都小心点,公关部大周末的被叫来加班算谁的? 商户,别管这篇微信怎么说,还是听拼多多的,要不以后怎么做生意? 用户,继续找羊毛薅呢,要不怎么鼓励电商技术进步?[详情]
【相关阅读】 拼多多漏洞事件损失数千万 “薅了羊毛”的用户怎么办? 中国电商第3大巨头拼多多在“羊毛门”中做错了什么? 拼多多Bug惨案中捡钱者该被追责?律师:属于不当得利 拼多多损失上千万能否追回成疑 律师:羊毛党或涉犯罪 拼多多Bug事件始末:官方拒绝透露涉事金额,是否追回尚无说法 记者 林北辰 郑洁瑶 星期天的早上八点,黄山(化名)刚从睡梦中醒来,就收到了微信群“羊毛”的消息。 群友热切地讨论,拼多多上的“薅羊毛充话费”已经持续一个晚上了,只要在APP上领券,就可以无限次地充话费,每次只用花费4毛钱,就能成功充进100元话费。还有网友猜测,这是因为拼多多公司在每个星期六放假,星期天早上11点才上班,这样的巨大Bug才没有得到及时解决。 黄山赶忙打开了拼多多的APP,抢到三张优惠券,并在八点39分成功付费,系统显示正在受理。 但话费没有如他所预料一般到账,直到下午4点,拼多多的新闻在网上沸沸扬扬,黄山只能就此作罢,拼多多不会给他充话费了。 1月20日,拼多多被网友爆料从凌晨起出现重大Bug,用户可以领取100元无门槛代金券,许多羊毛党连夜薅羊毛,涉事金额上千万。 爆料源于新浪微博上一位名为“互联网的那点事”的博主在11时24分发布微博:“从20日凌晨开始,拼多多出现了一个超级大Bug,用户可以领取100元无门槛券,注意是领取,不是抢购。专职羊毛党发现了这个大Bug,半夜打电话喊人薅羊毛!有的大牛已经领了上千张100元无门槛券,怕被抓进去于是把领券方式公布于众,于是大批用户开启了薅羊毛节奏。”他还进一步声称,拼多多平台上损失的金额在200亿以上。 许多用户晒出了自己在拼多多上低价薅到羊毛的截图。根据网友总结,拼多多的优惠bug始于20日凌晨,在早上9点左右关闭。但界面新闻记者询问多位用户后发现,部分用户在9点40分依然成功充值了100元进账户,也有用户虽然领取到优惠劵并充值,但充值金额始终没有到账。 对此,新浪财经还发布了一则简讯:某网购平台**多一夜交易金额达到338亿,其中约263亿元为话费充值订单。 与此同时,网络上流传着一张微信截图,自称为“公关部门-多多哥”的人士向一位利用100元无门槛优惠券充值Q币的用户要求返还充值金额,并称和腾讯方面进行合作,如果用户不同意,其QQ账号很有可能被收回。 拼多多在中午12点45分发布了关于”黑灰产通过平台优惠券漏洞不正当牟利“的声明,并将网络上关于“拼多多公关”向用户追回金额和“涉事338”亿的图片打上了谣言标志,声称公司内部从未有过这样一个“多多哥”。 拼多多市场部负责人井然在朋友圈表示,损失金额没有200亿之多,实际资损大概低于千万元。他还表示,比薅羊毛更快的是“资损200亿“谣言的传播速度。 拼多多将本次事件归咎于黑灰产团伙的不正当牟利行为,并声称已经报案,但拼多多拒绝透露涉事金额。 从以往羊毛党的“黑灰产”事件来看,如果本次拼多多bug事件确实是相关团伙所为,那么这是涉及盗窃罪的刑事案件,拼多多需要在第一时间报案并配合警方调查。 但是, 上海大邦律师事务所合伙人律师游云庭分析,本次事件很有可能是一次被定义为“重大误解”的民事案件。 根据《民法》,重大误解,指的是一方当事人因自己的过错导致对合同的内容等发生误解而订立了合同。误解直接影响到当事人所应享有的权利和承担的义务。误解既可以是单方面的误解,也可以是双方的误解。依我国学界通以及审判实践的做法,等同于传统民法中的错误,重大误解是可撤销行为的一种。 这也就意味着,拼多多有权利向使用了这次“100元优惠劵”的用户要求撤回交易。 拼多多不仅能够将本次平台bug解释为一次因过产生的“重大误解”,在《拼多多服务协议》用户守则第五条中,“使用拼多多平台外挂或利用拼多多平台当中的BUG来获得不正当的利益,是违反与拼多多之间的协议”,应当立刻停止访问拼多多并停止使用拼多多服务,拼多多已经为本次的事件提前打好了预防针。 游云庭提到,拼多多有可能实施的行为是“抓大放小”,将大额的订单追回,对于百元的小额订单不实施追回。这是由于在追回过程中,拼多多很可能无法做到让用户全额退回,需要承担用户的一部分损失。此外,在本次事件中最重要的一点是,拼多多的bug是其无可否认的过失,因此拼多多的过错与用户行为共同构成了“重大误解”。 可以说,“重大误解”的背后是拼多多的“重大失误”。 即使在整个互联网界,发生这样涉及金额重大的漏洞也实为罕见。知道创宇反信息诈骗专家潘少华分析,虽然其他平台也有出现过类似的bug,但像拼多多这种百元额度的大优惠券漏洞还是很少会发生,因为平台上这类大额优惠券都是需要层层审批的,一方面运营很少会配置这么大额度的优惠券,另一方面大多数平台也都会有异常预警与差错处理。 除此以外,像淘宝和京东这类大的电商平台对于优惠券本身的使用限制也是相当大的,例如绝大多数都会标注虚拟商品不可用,且优惠券的领取概率也和登陆IP、账号等级等信息息息相关。 无门槛领取优惠券对电商平台来说本身就是一个规则漏洞。而如今拼多多会出现这种问题,只能说其风险控制、预警机制、技术和运营的防漏洞能力都亟待提高。 过去,其他平台也出现过类似的bug,但这些话费、Q币、会员等虚拟性质的商品往往难以被追回。腾讯视频曾出现“0.2元开通VIP”bug,东航app也有过”0.4折白菜机票“的平台bug,京东、苏宁等电商出现类似bug都选择了自掏腰包为错误买单。安全专家认为,除了那些有组织作案的使用大量新注册账号的薅羊毛,其他的损失拼多多大概率要自己承担。 根据网络上流传的群聊图片显示,目前拼多多已经让商家对使用“100元无门槛优惠劵”购买实体商品的订单停止发货。 拼多多相关工作人员表示,优惠券暂时不能使用,相关订单在调查清楚后会做相应处理,因量较大,目前正在排查中。此外,对于是否会找用户追回已被消费的订单(如话费、Q币等等),官方尚且没有说法。[详情]
来源:中国基金报 泰勒 一夜之间,三亿人都在拼的拼多多,成了三亿人都在薅的拼多多。 如果你现在才知道这个消息,那你已经失去了一个“一夜暴富”的机会。 从20号凌晨开始,拼多多出现了一个超级大Bug,用户可以领取100元无门槛券,而且是领取,不是抢购。 一些职业羊毛党发现这点后,开始叫上身边的朋友一起去重复领取。 羊毛党们一夜无眠,半夜打电话喊人薅羊毛!有网友一晚上充值中国移动百余次,每次为100元,花费0.4元。也有网友利用这一漏洞给自己储备好了够用十几年的话费,有网友甚至晒出截图,表示自己账户内有超过50万Q币余额。 目前,拼多多已经紧急报案。 惊天bug!拼多多被羊毛党薅惨了 根据网友晒出的截图,此次拼多多的100元无门槛券全场通用(特殊商品除外),有效期为一年。 有网友表示,凌晨3点多被“喊醒”,一起去拼多多“薅羊毛”,“只需支付4毛钱,就可以充值100元话费”。 甚至有网友晒出充值几十万的Q币的截图。 也有消息称,是专职羊毛党发现了这个大bug,有的人已经领了上千张100元无门槛券,怕被抓进去于是把领券方式公布于众,于是这才有大批用户开启了“薅羊毛”的节奏。 网友纷纷表示,感觉错过了一个亿! 一夜间众多网友纷纷选择充话费或Q币等…… 拼多多:黑灰产团伙通过平台漏洞 盗取数千万元优惠券,已报案 拼多多微博客服@拼多多客户服务 1月20日发布关于“黑灰产通过平台优惠券漏洞不正当牟利”的声明。 1月20日晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。 拼多多一夜损失了200亿? 最新回应来了 网络传闻,这一次拼多多被薅了200多亿。甚至有网友担心“拼多多会不会一夜倒闭”。 对此拼多多发言人表示,实际最终资损或低于千万元人民币。但让人惊讶的是,比薅羊毛更快的是“资损200亿”谣言的传播速度。 程序员年终奖可能没了 在一些报道中,有人评判拼多多的风控能力不足,还有一个待查证的匿名消息在脉脉的爆料平台上称,这张 100 元的无门槛优惠券其实只是一张测试券,因为系统错误重新上线才引发了这场羊毛党的狂欢。 回收券、禁发货 据微博网友,直到今天早上10点多这一BUG才被修复。有网友揶揄道,拼多多的技术们醒得有点晚。在BUG修复后,拼多多方面也采取了紧急措施。许多网友表示,目前账户内的100元无门槛券已被拼多多官方回收。 收了券,抗议也随之而来。目前拼多多官方微博下面都是前来抗议的网友,有表示“我的无门槛100元券为什么不能用”“欺骗消费者”“315见”的,但也有表示“本来就够惨了,还要别人倒闭不成”“只能证明你们太慢了”的。 此外,网上亦有疑似拼多多内部截图称,希望所有商家不要发货:“今天内技术会全部砍单,所有商家不要发货,发了货的马上追回包裹,降低损失。平台会给消费者补偿5元无门槛券”。 之前领到未使用的优惠券也被全部下架。这引发部分常规用户的不满,大量网友在拼多多官微质问:“100元优惠券为什么不能用了?” Bug券,认不认? 如此高额的无门槛抵用券,即便只是用常识判断,也明白是出现Bug了。但是,如果拼多多要求撤销因漏洞产生的优惠券,是否有法律依据?两者的利益该如何平衡? 类似的事件并不少见,但是电商平台一般都是自掏腰包,满足用户的需求。 腾讯视频“0.2元开通VIP”处理:异常订单全部兑现,且不再扣费 东航0.4折白菜机票bug:全部有效,并请一位用户参加接机仪式 据新《电商法》第四十九条:“电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择该商品或者服务并提交订单成功,合同成立。当事人另有约定的,从其约定。电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立;格式条款等含有该内容的,其内容无效。” 也就是说,消费者付款以后,商家不能用“格式条款等方式”约定付款后合同不成立的。 拼多多的用户守则中同样规定,用户不得“利用拼多多平台外挂和/或利用拼多多平台当中的BUG来获得不正当的利益”。 这次的事件也或许能给喜爱发券搞促销的电商平台“拧上了弦”——风险控制、预警机制、技术和运营的防漏洞能力,都需要时时盯紧。[详情]
一夜薅走200亿?拼多多:真的没有那么多!黑灰产不是第一回作案了 原创 任明杰 一觉醒来,你可能完美错过了一个亿! 今天上午,一则消息在网上炸锅:从1月20日凌晨起,拼多多出现一个超级大Bug,用户可领取100元无门槛券。有专职“羊毛党”发现了这个大Bug,半夜打电话喊人薅羊毛,据说一晚上交易额达到200多亿元…… 更有大牛在网上晒出了一夜狂薅54万多元的截图。有网友评论称晒出来是为了法不责众,避免“进去过年”。甚至有网友担心,如果拼多多真被薅走200多亿元的话,可能一夜之间就要倒闭了。 200亿元意味着什么?拼多多2018年11月20日公布的第三季度财报显示,公司第三季度总营收为人民币33.72亿元,同比增长697%;归属拼多多股东的净亏损为人民币10.98亿元,2017年同期净亏损为人民币2.21亿元。 更有网友评论称:这哪是薅羊毛,这分明是杀羊啊! 对此,1月20日中午,拼多多紧急发表声明,称: 拼多多发言人表示,实际最终损失或低于千万元人民币。 他在微信朋友圈表示,没想到在系统没有任何数据安全漏洞的情况下,灰黑产还能利用规则漏洞薅走总价值数千万的优惠券,“真的没有200亿”。 很多网友发现,漏洞发生在凌晨0点到上午9:40之间,在拼多多修复漏洞后,100元无门槛券已经不能使用甚至直接消失了。 网上亦有疑似拼多多内部的截图流出,称这几天如果有消费者用了100天无门槛的,“今天内技术会全部砍单,所有商家不要发货,发了货的马上追回包裹,降低损失。平台会给消费者补偿5元无门槛券。” 对此,很多网友去拼多多的官方微博下面留言抗议,称自己只是利用了规则漏洞,拼多多要为自己的错误买单。但也有网友表示,这就好比大货车在高速上翻车,周边老百姓上去哄抢洒落的水果,这显然不合理。 那么,到底孰是孰非呢? 2019年1月1日起施行的《电子商务发》第四十九条规定: 电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择该商品或者服务并提交订单成功,合同成立。当事人另有约定的,从其约定。电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立;格式条款等含有该内容的,其内容无效。 值得注意的是,《电子商务发》规定了“当事人另有约定的,从其约定”的情形,而查阅拼多多“用户守则”会发现,其中有“禁止使用拼多多平台外挂和/或利用拼多多平台当中的BUG来获得不正当的利益”的约定。 顺便说一下这次薅拼多多羊毛的黑灰产。 近年来,网络黑灰产已经成为一个庞大的产业链,猫池厂家、卡商、接码平台通过手机黑卡、猫池设备、验证码等构建起了一个分工明确、紧密结合的黑灰色网络。其中,“薅羊毛”正是黑灰产的重要盈利模式之一,并形成了一个规模庞大的“羊毛党”。 前几年,东鹏特饮就曾在“扫二维码领红包”的活动推广中惨遭“薅羊毛”。渠道商和“羊毛党”手中的微信账号有限,但码却很多,他们以略低于最低额度红包的价格贩卖,最终使东鹏特饮付出大量营销资金后,收获的却是大量“僵尸用户”。 后来,东鹏饮料接入了腾讯云的天御服务。针对“羊毛党”,腾讯云天御服务利用超过500个业务场景积累下来的黑产大数据样本,通过每天数百P的数据运算,最大程度识别并阻止“羊毛党”用户的对抗行为。腾讯云预计每年可为东鹏节省3000多万元的营销资金。[详情]
新浪财经讯 1月20日凌晨,拼多多平台出现“优惠券Bug”,有媒体报道称,专职羊毛党发现了这个Bug,使用该优惠券后,可实现用0.46元充值100元话费,且可以通过新账号的方式无限制领券。网上热议此次bug造成拼多多200多亿元损失,直到20日上午9点,该优惠券的领取通道才被官方正式下架。 对于已被领取的优惠券如何处理,接近拼多多人士向新浪财经表示,先查明真相,此次事件是有黑灰产团伙利用平台运营规则盗取数千万元优惠券,而不是技术安全问题,警察已介入调查,具体要看警方调查结果。 1月20日,针对市场中传言拼多多“因为灰黑产被薅走200亿”的谣言不胫而走。拼多多发言人表示,实际最终资损或低于千万元人民币。但让人惊讶的是,比薅羊毛更快的是“资损200亿”谣言的传播速度。 拼多多对外声明称,1月20日晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。 针对此次事件,1月20日下午,上海公安部门接受媒体采访表示,如果真的是有黑产羊毛党恶意搞拼多多,那么本次事件是可以被当成欺诈罪处理的刑事问题。(新浪财经8号楼工作室 陈彦旭) 推荐阅读:拼多多系统出现重大Bug 官方承认有漏洞[详情]
一夜薅走200亿?拼多多:真的没有那么多!黑灰产不是第一回作案了 一觉醒来,你可能完美错过了一个亿! 今天上午,一则消息在网上炸锅:从1月20日凌晨起,拼多多出现一个超级大Bug,用户可领取100元无门槛券。有专职“羊毛党”发现了这个大Bug,半夜打电话喊人薅羊毛,据说一晚上交易额达到200多亿元…… 更有大牛在网上晒出了一夜狂薅54万多元的截图。有网友评论称晒出来是为了法不责众,避免“进去过年”。甚至有网友担心,如果拼多多真被薅走200多亿元的话,可能一夜之间就要倒闭了。 200亿元意味着什么?拼多多2018年11月20日公布的第三季度财报显示,公司第三季度总营收为人民币33.72亿元,同比增长697%;归属拼多多股东的净亏损为人民币10.98亿元,2017年同期净亏损为人民币2.21亿元。 更有网友评论称:这哪是薅羊毛,这分明是杀羊啊! 对此,1月20日中午,拼多多紧急发表声明,称: 拼多多发言人表示,实际最终损失或低于千万元人民币。 他在微信朋友圈表示,没想到在系统没有任何数据安全漏洞的情况下,灰黑产还能利用规则漏洞薅走总价值数千万的优惠券,“真的没有200亿”。 很多网友发现,漏洞发生在凌晨0点到上午9:40之间,在拼多多修复漏洞后,100元无门槛券已经不能使用甚至直接消失了。 网上亦有疑似拼多多内部的截图流出,称这几天如果有消费者用了100天无门槛的,“今天内技术会全部砍单,所有商家不要发货,发了货的马上追回包裹,降低损失。平台会给消费者补偿5元无门槛券。” 对此,很多网友去拼多多的官方微博下面留言抗议,称自己只是利用了规则漏洞,拼多多要为自己的错误买单。但也有网友表示,这就好比大货车在高速上翻车,周边老百姓上去哄抢洒落的水果,这显然不合理。 那么,到底孰是孰非呢? 2019年1月1日起施行的《电子商务发》第四十九条规定: 电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择该商品或者服务并提交订单成功,合同成立。当事人另有约定的,从其约定。电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立;格式条款等含有该内容的,其内容无效。 值得注意的是,《电子商务发》规定了“当事人另有约定的,从其约定”的情形,而查阅拼多多“用户守则”会发现,其中有“禁止使用拼多多平台外挂和/或利用拼多多平台当中的BUG来获得不正当的利益”的约定。 顺便说一下这次薅拼多多羊毛的黑灰产。 近年来,网络黑灰产已经成为一个庞大的产业链,猫池厂家、卡商、接码平台通过手机黑卡、猫池设备、验证码等构建起了一个分工明确、紧密结合的黑灰色网络。其中,“薅羊毛”正是黑灰产的重要盈利模式之一,并形成了一个规模庞大的“羊毛党”。 前几年,东鹏特饮就曾在“扫二维码领红包”的活动推广中惨遭“薅羊毛”。渠道商和“羊毛党”手中的微信账号有限,但码却很多,他们以略低于最低额度红包的价格贩卖,最终使东鹏特饮付出大量营销资金后,收获的却是大量“僵尸用户”。 后来,东鹏饮料接入了腾讯云的天御服务。针对“羊毛党”,腾讯云天御服务利用超过500个业务场景积累下来的黑产大数据样本,通过每天数百P的数据运算,最大程度识别并阻止“羊毛党”用户的对抗行为。腾讯云预计每年可为东鹏节省3000多万元的营销资金。 编辑:张楠 叶松 [详情]
来源:21Tech原创,作者:陶力 拼多多Bug:羊毛党连夜抢券,4毛钱充100快话费 拼多多又摊上事了,不过这次是受害者。 1月20日,针对市场中传言拼多多“因为灰黑产被薅走200亿”的谣言不胫而走。当日凌晨,拼多多在微博热搜上的热度,一度压过了“王思聪吴秀波”。 该平台被曝出现重大Bug,用户可领100元无门槛券。这一漏洞引来了大批用户“薅羊毛”,并全部将优惠券用作话费充值。甚至有网友连夜打电话给朋友起来捡便宜。 今天(20日)凌晨,得知这一bug的网友纷纷开始薅羊毛。 对此,拼多多发言人向21Tech表示,实际最终资损或低于千万元人民币。但让人惊讶的是,比薅羊毛更快的是“资损200亿”谣言的传播速度。对于后续事宜,拼多多能挽回损失吗? 有一个情况,需要提醒商家注意。 按照拼多多的虚拟卡管理,qq币可能是违规虚拟币,商家的货款,有可能被冻结。就是说有可能出现这种情况,羊毛党套了券,商家来买单。 比如,你在拼多多上卖qq币,我用这一堆优惠券在你这买了几万块的qq币。结果,拼多多为了止损,以“qq币是违禁品,禁止出售”的名义,冻结你的货款,不让你提现。这样拼多多不用给你付款,就没有损失。 21Tech之前接触了大量相关案例,其中有几个在电商平台卖XX卡的,一共被冻结了490万。 Bug券,认不认? 如此高额的无门槛抵用券,即便只是用常识判断,也明白是出现Bug了。但是,如果拼多多要求撤销因漏洞产生的优惠券,是否有法律依据?两者的利益该如何平衡? 21Tech梳理发现,类似的事件并不少见,但是电商平台一般都是自掏腰包,满足用户的需求。 腾讯视频“0.2元开通VIP”处理:异常订单全部兑现,且不再扣费 东航0.4折白菜机票bug:全部有效,并请一位用户参加接机仪式 但是,拼多多此次看起来并不会因此妥协。 一个有待查证的匿名消息在脉脉上称,这张 100 元的无门槛优惠券其实只是一张测试券,因为系统错误重新上线才引发了这场风波。一般来说,羊毛党大都是采取群控软件+改码软件的手段,不断刷新移动设备的 Mac 地址,imei 等手段,把原有设备伪造成 N 多新的设备,绕过中小平台的风控策略,以获得电商平台的优惠券,或者以超低价购买平台产品。因此,在很短的时间内,会有重复的 IP 地址、Mac地址、imei等信息不断出现,但是,平台看到的上述数据,都是一个个真实的设备,平台付出去的优惠也是真金实银。 有律师表示,根据合同法的相关规定,这类交易属于存在“重大误解”订立的合同,是可以要求撤销的。如果拼多多有证据证明,这个优惠券存在Bug,而且是第三方的问题,到法院确认合同无效,那么拼多多就可以撤回优惠券。合同需要真实意思的表达,没有办法强求因为程序上的失误,让平台承担所有的责任,“但是,在实际处理中,平台都会尽量为消费者提供一些优惠”。 平台存在漏洞 今天上午9点,拼多多已将相关优惠券全部下架。有网友在微博上表示,拼多多客服已与其取得联系,称其夜间下单多个虚拟商品,均使用了“100元无门槛抵用券”,这种行为涉嫌违背《拼多多服务协议》且金额较大,希望如数归还,否则将在14个工作日内提起诉讼。 21Tech查询《拼多多服务协议》发现,在用户守则第五条写有:使用拼多多平台外挂或利用拼多多平台当中的BUG来获得不正当的利益,此举有损于拼多多和其他用户的合法权益。 不过,对于网络上流传的客服与用户之间对话的截屏,拼多多说是谣言。“有黑灰产团伙通过一个过期的优惠券漏洞,盗取数千万元平台优惠券,进行不正当牟利。网络流传的截图均为伪造,具体的数额不便透露。” 针对此行为,该平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。“同时我们已向公安机关报案,并将积极配合相关部门,对涉事黑灰产团伙予以打击。” 广告费是研发费的10倍! 或许拼多多并不会公布最终的损失数据,但是此事却凸显了平台风控技术存在的弱势。一般情况下,优惠券都会设立领取门槛,结合登陆IP、账号等,以此来避免羊毛党利用虚拟设备批量捡便宜。而拼多多事件并未涉及虚拟设备,大量用户都是使用常规设备领取并完成交易,直接原因可能是平台的风控能力不足。 21Tech查阅拼多多财报数据发现,在2018年第三季度,拼多多营业总费用为38.67亿元,相比去年同期大增722%。 细分情况如下:销售费用为32.296亿元,相比2017年同期4.279亿元增加655%,主要是由于品牌推广活动和线上线下广告和促销活动的增加。研发费用为3.32亿元,相比2017年同期0.358亿元增加828%,主要是由于员工人数的增加,以及更有经验的研发人员的招聘,以及研发相关的云服务费用的增加。 显然,与高昂的营销广告成本相比,拼多多投入的技术研发费用可为杯水车薪。因此,风控系统出现危机并不意外。[详情]
安全专家评拼多多事件:风险控制及防漏洞能力都亟待提高 郑洁瑶 除了那些有组织作案的使用了大量新注册账号的黑灰产薅来的羊毛可以通过法院的帮助讨回,其他的损失,拼多多或许也只能认了。 1月20日,有用户表示,今日凌晨,拼多多平台现巨大Bug,100元无门槛劵可任意领取。直到20日上午9点,该优惠券的领取通道才被官方正式下架。 20日午间,拼多多连续发表两则声明,一则表示,20日凌晨确有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,另一则则表示,拼多多实际最终资损或低于千万元人民币,且灰黑产是在没有任何数据安全漏洞的情况下利用规则漏洞薅走总价值数千万的优惠券的。 下午,拼多多官方服务号发布公告称:很抱歉因系统故障出现少量误发优惠券,系统已自动回收,如果您在此名单,您将收到平台赠送的5元无门槛优惠券,50年有效,系统将于48小时内自动发送到您的用户账号中,感谢您的理解。 风险预警规则缺失 知道创宇反信息诈骗专家潘少华对界面新闻表示,过去,虽然其他平台也有出现过类似的bug,但像拼多多这种百元额度的大优惠券漏洞还是很少会发生,因为平台上这类大额优惠券都是需要层层审批的,一方面运营很少会配置这么大额度的优惠券,另一方面大多数平台也都会有异常预警与差错处理。 除此以外,像淘宝和京东这类大的电商平台对于优惠券本身的使用限制也是相当大的,例如绝大多数都会标注虚拟商品不可用,且优惠券的领取概率也和登陆IP、账号等级等信息息息相关。 无门槛领取优惠券对电商平台来说本身就是一个规则漏洞。而如今拼多多会出现这种问题,只能说其风险控制、预警机制、技术和运营的防漏洞能力都亟待提高。 虚拟商品损失难追讨 事实上,像今天拼多多这样的事件并非第一次发生了。 上一个出现类似Bug的是东航,2018年11月17日,东方航空官方APP、网站突然出现大量0.4折机票,当日午间,东航即发表回应,称此次“白菜价”机票系于系统维护时售出,所有支付成功并已出票的机票均为有效。 而在另一则公告中,东方航空公司则解释了此次“白菜价机票”事件的原因:在进行价格维护时出现参数异常,导致部分网络销售平台出现异常票价的销售出票情况。 而2018年4月,小米旗下的米家有品商城也曾出现过价格Bug:原价599元的商品只需要0.01元就可购买。但因为所购商品都是实体物品,平台发现Bug时商品也还未寄出,最终,米家有品提供的解决方案是取消订单并赠送用户优惠券。 在这些案例里,虚拟商品售出后,企业要想追讨通常都是很难的,此前京东、苏宁、联想等电商商城也曾出现过类似拼多多这种给用户送优惠的Bug,但大部分公司最后都选择了自掏腰包为错误买账。 而这次,如果拼多多无法向警方证明这次Bug不是平台自己的失误而是黑产恶意的攻击,那大概率会被归为民事纠纷案件,换句话说,除了那些有组织作案的使用了大量新注册账号的黑灰产薅来的羊毛可以通过法院的帮助讨回,其他的损失,拼多多或许也只能认了。[详情]
每经记者 张斯 赵雯琪 实习编辑 王丽娜一觉醒来,拼多多可能丢了200多亿。1月20日,有网友反映,从20号凌晨开始,拼多多出现了一个巨大漏洞,用户可以领取100元无门槛券。对此,拼多多方面对《每日经济新闻》回应称,1月20日晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。据《每日经济新闻》记者观察,今日上午BUG刚被封上,但这次拼多多损失惨重,不算实物订单,光话费充值虚拟订单就损失惨重,而虚拟订单很难追回。有个店铺显示,已经成交了43万单,价值4300万。如果拼多多赖账,可能品牌损失更大,因为除了职业羊毛党,还有一堆吃瓜群众也参与了活动。“羊毛党”是指那些专门选择互联网的营销活动、以低成本甚至零成本换取高额奖励、收益的人。“羊毛党”的获利行为一般被人称为“薅羊毛”。而电商平台已经成为“羊毛党”的主战场了。针对此行为,拼多多方面表示,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。虚拟订单:充话费+Q币是重灾区在1月20日凌晨开始出现的巨大漏洞中,用户可以领取100元无门槛券。有大批用户开启“薅羊毛”的节奏,利用无门槛券来充值话费、Q币。记者通过网友发布的截图信息观察到,4毛就可以冲100块话费,疯狂者“一夜未眠”,利用这一漏洞给自己储备好了够用十几年的话费,有网友甚至晒出截图,表示自己账户内有超过50万Q币余额。至于拼多多的损失——目前网络流传的损失数字是超过200亿元,甚至有网友担心“拼多多会不会一夜倒闭”。今天上午9点,拼多多已将相关优惠券全部下架。有网友晒出其与拼多多“人员”的聊天记录,对方称此行为已违背服务协议,希望如数归还,否则将在14个工作日内提起诉讼。对此,拼多多官方向新浪科技表示,“这图片是PS的”。事实上,羊毛党和“薅羊毛”行为一直存在,尤其是在“双11”“双12”网购大促活动中,电商平台难免成为“羊毛党”的围猎目标。由于利润丰厚和监管缺失,“薅羊毛”早已不只是合理利用规则占点“小便宜”的个人行为,而是已经催生、进化成了若干组织严密、组织化程度极高的专业羊毛党。随着近年以天猫、京东等电商平台为代表的“千亿级”时代到来,这种专业羊毛党还呈现出“病毒式”的扩散和壮大。据微博网友,直到今天早上10点多这一BUG才被修复。不过在脉脉平台上,记者看到,有网友吐槽,拼多多的技术们醒得有点晚。在BUG修复后,拼多多方面也采取了紧急措施。许多网友表示,目前账户内的100元无门槛券已被拼多多官方回收。“每年电商平台被‘羊毛党’围猎的商品数量巨大,这让消费者很多时候都享受不到电商平台所提供的活动福利。”中国电子商务研究中心主任曹磊此前对《每日经济新闻》记者如此表示。而每经记者注意到,随着“羊毛党”越薅越疯狂,除了电商,相关的行业与企业也开始重视这一现象。2018年元旦,腾讯视频一场“9折开通腾讯视频VIP”活动吸引了大批用户关注,很多人参加优惠活动之后发现实际每月的扣款不是打9折后的18元,而是只有0.2元(腾讯视频会员实际价格为每月20元)。这个BUG很快被腾讯发现,但根据官方数据统计,在12月31日服务器出现异常的短短时间内,在这一漏洞下产生的订单是287万笔,有39万名用户在这个过程中参与了活动,如果按每笔订单平均充值一年会员来算,损失就高达5个多亿,收回来的钱不过几百万而已,如果错误订单全部履行的话,真不是一般企业能够承受得起的。显然,这次的事件也让各大平台意识到,风险控制、预警机制、技术和运营的防漏洞能力十分重要。职业化、专业产业链有目标攻击事实上,《每日经济新闻》记者了解到,从2013年下半年兴起到现在,“羊毛党”早已不只是占小便宜的代名词,他们中的大多数已建立了个人网站、工作室和社群等,并逐渐形成规模化运营。在这个组织中,有人负责数据管理,有人负责传播推广,有人负责技术研发……根据《黑镜调查:深渊背后的真相之薅羊毛产业报告》显示,过去几年间,“羊毛党”已经发展成为一股庞大的力量,“薅羊毛”过程中需要的各种资料、手段和工具,催生了上游的各种灰色产业,比如:接码平台、商业化的注册机、群控系统、代理平台、资料商人和账号商人等。报告显示,在整个“薅羊毛”的产业链结构中,手机卡商属于最上游的群体,为各大接码平台源源不断提供手机卡和用户信息;黑客和技术开发者发现系统漏洞,不断提供大量自动化工具等,提高“羊毛党”的工作效率。值得注意的是,拼多多官方表示,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。其实,目前“羊毛党”的攻防技术也演进到较高水平。顶象技术风控产品技术负责人张晓科在接受《每日经济新闻》记者采访时表示,“黑灰产业已经在使用大数据和人工智能技术来绕过传统的防控策略,这也是未来的发展趋势。”对此,张晓科认为,行业与企业除了技术防范外,还需要产品业务层面和制度立法等方面的共同推进。“《网络安全法》已经有些拘役和罚款的案例,多少对‘羊毛党’会有些震慑作用”。“目前国家对于‘羊毛党’这块还没有相应的法律法规出台。”中国电子商务协会主任张帆在接受《每日经济新闻》记者采访时表示,目前电商协会没有把对“羊毛党”这类群体的打击作为主要工作。这除了因为协会属性,还因为各大电商并没有向协会反映“薅羊毛”情况的存在。亦有业内人士认为,想要单独通过电商平台来打击“羊毛党”是不可能的,必须要行业与企业共同努力才行。同时,平台应该进行产业升级,利用大数据等手段,进行精准营销,而非靠原始的促销手段来获客,这样才能大量减少“羊毛党”数量。 来源:每日经济新闻[详情]
新浪美股讯,1月20日,针对市场中传言拼多多“因为灰黑产被薅走200亿”的谣言不胫而走。 对此拼多多发言人表示,实际最终资损或低于千万元人民币。但让人惊讶的是,比薅羊毛更快的是“资损200亿”谣言的传播速度。 当日早间,拼多多在微博热搜上的热度一度压过了“吴秀波事件”。 上述发言人表示,没想到在系统没有任何数据安全漏洞的情况下,灰黑产还能利用规则漏洞薅走总价值数千万的优惠券。 羊毛党刚散,亡羊补牢中,已向警方报案,最终还能追回不少,实际资损大概率低于千万元。 这位发言人在朋友圈表示,真的没有200亿,深更半夜的。。。全国人民全部起来每人薅十块钱,大家觉得可能么。。。就看周一三大运营商会不会涨停了 以下为拼多多公司声明: 《关于“黑灰产通过平台优惠券漏洞不正当牟利”的声明》 1月20日晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。 拼多多 2019年1月20日 [详情]
1月20日,针对市场中传言拼多多“因为灰黑产被薅走200亿”的谣言不胫而走。 对此拼多多发言人表示,实际最终资损或低于千万元人民币。但让人惊讶的是,比薅羊毛更快的是“资损200亿”谣言的传播速度。 当日早间,拼多多在微博热搜上的热度一度压过了“吴秀波事件”。 上述发言人表示,没想到在系统没有任何数据安全漏洞的情况下,灰黑产还能利用规则漏洞薅走总价值数千万的优惠券。 羊毛党刚散,亡羊补牢中,已向警方报案,最终还能追回不少,实际资损大概率低于千万元。 这位发言人在朋友圈表示,真的没有200亿,深更半夜的。。。全国人民全部起来每人薅十块钱,大家觉得可能么。。。就看周一三大运营商会不会涨停了 以下为拼多多公司声明: 《关于“黑灰产通过平台优惠券漏洞不正当牟利”的声明》 1月20日晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。 拼多多 2019年1月20日 [详情]
快看 | 拼多多回应漏洞:“资损200亿”是谣言 运营商会不会涨停不知道,但明天拼多多的股票大概要跌停了。 郑洁瑶林北辰 1月20日,针对市场中传言拼多多“因为灰黑产被薅走200亿”的谣言,拼多多发言人表示,震惊谣言传播的速度,拼多多实际最终资损或低于千万元人民币,且灰黑产是在没有任何数据安全漏洞的情况下利用规则漏洞薅走总价值数千万的优惠券的。 此外,这位发言人还在朋友圈表示,“真的没有200亿,全国人民全部起来每人薅十块钱,大家觉得可能么?就看周一三大运营商会不会涨停了。” 针对此次事件,上海公安部门表示,如果真的是有黑产羊毛党恶意搞拼多多,那么本次事件是可以被当成欺诈罪处理的刑事问题。而上海大邦律师事务所高级合伙人游云庭对界面新闻表示,如果真的是平台bug,程序员上错了一张优惠券,就只是民事问题,即使报案了公安也不一定受理。另外根据民法“重大误解”的规定,拼多多是有权利把这些损失的金额去追回的。 以下为拼多多公司声明: 《关于“黑灰产通过平台优惠券漏洞不正当牟利”的声明》 1月20日晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。 拼多多 2019年1月20日[详情]
拼多多不哭,薅羊毛的江湖水太深 拼多多承认自己被薅羊毛了,还嚷嚷着要报警。 1 月 20 日,据微博“互联网的那点事”爆料:“从20号凌晨开始,拼多多出现了一个超级大Bug,用户可以领取100元无门槛券,注意是领取,不是抢购。专职羊毛党发现了这个大Bug,半夜打电话喊人薅羊毛!有的大牛已经领了上千张100元无门槛券,怕被抓进去于是把领券方式公布于众,于是大批用户开启了薅羊毛节奏。” 不过,200 亿可能是没有的,在拼多多1月 20 日发表的声明里,这一数额达到了“数千万元”。 拼多多新浪官方微博声明:1月20日晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。 微信公众号“黑奇士”称,羊毛群里大概九点半左右出现线报,但此时这场羊毛党狂欢已经接近尾声。在某赚客论坛上,不少羊毛党纷纷晒出自己的战绩,一半以上都撸了 500 元以上的话费或Q币,其中大部分人撸的虚拟物品已到账。 [图片来源:黑奇士(id hqssima)] 一知情人士对雷锋网编辑确认,1 月 20 日凌晨,羊毛党们开启了这场集体行动。 在一些报道中,有人评判拼多多的风控能力不足,还有一个待查证的匿名消息在脉脉的爆料平台上称,这张 100 元的无门槛优惠券其实只是一张测试券,因为系统错误重新上线才引发了这场羊毛党的狂欢。 无论真实原因是什么,拼多多不要哭,薅羊毛在互联网上是很普遍的现象,比如运营商行业、互联网及互联网金融行业经常会见到,相关案例也不在少数,雷锋网就曾报道过多起。 一般来说,羊毛党大都是采取群控软件+改码软件的手段,不断刷新移动设备的 Mac 地址,imei 等手段,把原有设备伪造成 N 多新的设备,绕过中小平台的风控策略,以薅取电商平台的优惠券或者低价购买平台产品。因此,在很短的时间内,会有重复的 IP 地址、Mac地址、imei等信息不断出现,但中小电商从自身平台看到的上述数据,都是一个个真实的设备。 总而言之,羊毛世界水很深,下面,让我们复盘下雷锋网曾经对羊毛江湖的报道,拼多多可以来划个重点。 羊毛党的趋势和羊毛党的新招数 羊毛党 1、初期是小作坊。 一个人有多个账号,邀请亲朋好友可以拿到一些返现红包、邀请红包。这个在电商时代比较典型,也是商家愿意看到的一些正常引流方式。 2、包工头。 一个稍具有规模的羊毛党的团体,接到单,对某个店铺进行交易量的刷单,还有一些广告任务。这个规模主要是以学生、家庭主妇为主,撸个小钱,最典型的可能就是一些注册账号,绑定一些身份证账号或者是银行卡号,还有是做一些人脸认证,还包括一些下单的刷单交易、点击广告。 其实,在这一块儿有比较多的欺诈产生。之前经常会看到新闻,学生被骗,或者是某某被骗,主要也是在这里,他刷单自己投入资金,前期他投资会给他一定的返现,随着后面投的钱多,就会被骗,会遇到直接拿着钱跑路的情况。 3、专业刷手。 这个团体已经是比较专业的了,基本上已经形成了上下游完整的产业链。 像专业刷手,是一个团队,可以直接对活动进行狂撸、狂薅,月入万元是很轻松的,甚至是更多。这个比较典型的场景就像 O2O、电商,还有在共享、互联网、互金等。在互联网业务全面开花,规模也成型了。 2014年之后,开始出现针对互金的羊毛党。 主要就是有一些内部平台,因为内部人员也想拉新、募集资金,可能就和羊毛团的团长直接谈判,谈判一些拉新的返现,还有一些能力不强的团长(羊头),可能还有一些上级的代理,这个代理可能是一些广告公司或者第三方平台。 随着政策的收紧,包括网站平台的跑路,羊毛党也有风险的,所以这一块儿相对比 2014、2015年,2015 年是羊毛党发展最好的,现在羊毛党也有一些风险。 产业链 产业链里主要是各种活动信息的共享,还有薅羊毛经验的交流。网上有好多社区、论坛、QQ 群,群里会有羊头,他从平台内部或者上级代理拿一些任务,进行任务分发。 职业刷手也会在论坛或群里发一些作案的手法还有教程出售,由黑客来寻找漏洞,制作一些软件和工具。比如批量注册的软件、刷单的软件、IP 的代理、各种模拟器、群控软件等。 有了这些工具之后,职业的刷手还需要一些账号,账号有卡商和专门出售账号的团伙,卡商基本上会从运营商内部或者代理处拿一些卡,有专业的设备来养卡。 账号基本上从地下施工库,还有一些黑客进行一些脱库、撞库包括一些木马来采集的一些用户的隐私信息。还有一些钓鱼网站,当然还有一部分就是内鬼泄漏一些我们的用户隐私信息。比如,大家之前经常接到一些广告电话,包括从房产中介、甚至是物业都会泄露一些用户信息。还有一些批量的注册软件注册一些账号。 这些账号也分等级,不同等级的账号卖的价格不一样,有些最初的账号可能信息有限,还有一批账号可能绑定了一些身份证、银行卡,这个账号可能质量稍微高一些,卖的价钱贵一些。也专门有团伙来进行账号的清洗,还有对账号进行养白,养白就是这些白账号可以正常地参加活动或其它的交易。 接码平台,主要就是有工具、账号之后,大家注册后一般会收到短信验证或者是用图文验证、或是语音说几句话,这些都有专业的接码平台,用户发送的这些信息直接就通过卡上的号码,直接被电脑提取到一个软件上,这个软件后面就有一些人工进行读码,读取到我这个短信是多少,然后再返回给前端的软件。 最后面的就是一些套现和协助销赃,比如某一次活动搞的一些充值卡、优惠卡,这个销赃的时候会折扣收买给代理商、店铺,比如说充值卡,充值卡抢到的是多少面额的,可能折扣卖给商家,商家再以一定的折扣再卖给用户,中间就会赚取一些差价。 还有一些实物的二手市场的一些转卖,这个是信息共享的一些论坛和 QQ 群,基本上各种活动信息,包括一些网盘上的工具,还有一些 QQ 群,基本上都是信息的共享和任务的分发。 还有群控软件,基本上通过主控设备做操作,就能同步到所有的设备上,通过这个就可以登录多个账号进行一些操作。 新趋势 电商购物节点促销活动上遭遇的薅羊毛往往呈现出集群化作弊的现象,成百上千部手机刷同一个APP的新手红包、优惠券。电商平台推出的几万个限量红包就会在极短的时间内,被羊毛党薅走,这样在大促时电商拿出的推广费用,全都被羊毛党薅走,并不能达到预期的推广效果,也不能给平台用户带来真正的实惠。 当然,大部分黑产还是老的薅羊毛手法,目前存在的一些新手法,其实技术思路其实都是和以前一样的,比如去年发现了一些通过投毒一些通用组件,做插入恶意js做引流或者通过恶意js挖矿的案例。 不过,相对前几年而言,当前薅羊毛有几个新的关注点: 一些高级的技巧,比如利用数据库主从分离和缓存使用高并发的条件竞争进行优惠券获取或者刷单。 过去薅羊毛可能仅仅是‘钱’,而现在更多的还有可能是数据,比如有做信用评级的公司,很有可能通过接口来获取信息,而本来这些信息是需要第三方付费才能使用的。 一些开放平台存在漏洞,比如微博这样的大社交平台,如果存在漏洞可以进行引流,从而变现。 攻防对抗 最开始的就是弱防护,弱防护基本像专业杀手或者是黑灰产就通过模拟器,基本上就可以达到集中式的一些方位,或者做一些薅羊毛的事情。 随着弱防护加上了,还有一些基础手段,比如设备识别,识别 IMEI 号或者是其它一些信息甄别这个设备。这个也有针对性地出现了一些设备牧场,设备牧场的这种攻击,基本上在一部分上就绕过了对真机的检测。 验证(电话验证),电话验证上下形成一些短信,包括一些语音验证,这是攻的手段,防的手段也有专业的设备,比如说猫池,卡商就会把一些卡放到猫池的设备上,可以简单理解成虚拟的手机,手机设备可以插多张卡,这个设备连接到电脑,就可以直接读取上行的短信,并且下行发短信。 后期的一些防范手段又出现了各种验证码,像图文的、文字、问答式的,包括现在出现了一些滑动的行为式的,还有点击式的。攻的手段也有打码平台,后台是人工打码,就是人工来识别验证码。所以,攻防对抗是不断在持续演进。 除了产业链这些攻防对抗的手段,还需要做哪些? 1.端上做保护。 比如说针对一些批量刷接口的情况,可以做一些接口协议上的保护,还有业务逻辑上的一些防护,比如一些活动的一些逻辑防护(推理的一些算法,或函数之类的)。 2.完善产品逻辑。 比如刚才的薅样毛案例一,天猫商城的生日积分,它就是业务规则上有漏洞,包括有些产品逻辑上也有漏洞,比如限制这个活动只能参加一次,或者一天只能参加几次,这个是业务上的漏洞。还有开发代码上有一些漏洞,实际上也是逻辑上的遗漏。 3.防撞库和脱库、用户的信息保护。 主要是进行一些弱密检测,还有泄露的一些账号,包括黑灰产拿账号进行撞库清洗,这块儿也要做一些防护。[详情]
独家丨拼多多回应BUG:损失200亿是谣言,起诉羊毛党也是谣言 来源:格隆汇 格隆汇1月20日丨拼多多出现重大BUG,用户可领100元无门槛券,市传此事或使拼多多损失200亿。针对“此次BUG具体导致了公司损失多少,以及大家普遍比较关心的拼多多是否会要求羊毛党归还”等问题,格隆汇第一时间联系到拼多多,公司回复:“此次BUG的损失并不是市传的200亿,就像第一份声明所称,盗取数为千万元优惠券。 至于会否要求羊毛党归还”,公司目前还没有要求归还。关于有网友已经晒出其与拼多多“人员”的聊天记录,对方称此行为已违背服务协议,希望如数归还,否则将在14个工作日内提起诉讼。对此,拼多多表示这也是谣言。[详情]
拼多多承认自己被薅羊毛了,还嚷嚷着要报警。 1 月 20 日,据新浪微博“互联网的那点事”爆料:“从20号凌晨开始,拼多多出现了一个超级大Bug,用户可以领取100元无门槛券,注意是领取,不是抢购。专职羊毛党发现了这个大Bug,半夜打电话喊人薅羊毛!有的大牛已经领了上千张100元无门槛券,怕被抓进去于是把领券方式公布于众,于是大批用户开启了薅羊毛节奏。” 不过,200 亿可能是没有的,在拼多多1月 20 日发表的声明里,这一数额达到了“数千万元”。 拼多多新浪官方微博声明:1月20日晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。 微信公众号“黑奇士”称,羊毛群里大概九点半左右出现线报,但此时这场羊毛党狂欢已经接近尾声。在某赚客论坛上,不少羊毛党纷纷晒出自己的战绩,一半以上都撸了 500 元以上的话费或Q币,其中大部分人撸的虚拟物品已到账。 [图片来源:黑奇士(id hqssima)] 一知情人士对雷锋网编辑确认,1 月 20 日凌晨,羊毛党们开启了这场集体行动。 在一些报道中,有人评判拼多多的风控能力不足,还有一个待查证的匿名消息在脉脉的爆料平台上称,这张 100 元的无门槛优惠券其实只是一张测试券,因为系统错误重新上线才引发了这场羊毛党的狂欢。 无论真实原因是什么,拼多多不要哭,薅羊毛在互联网上是很普遍的现象,比如运营商行业、互联网及互联网金融行业经常会见到,相关案例也不在少数,雷锋网就曾报道过多起。 一般来说,羊毛党大都是采取群控软件+改码软件的手段,不断刷新移动设备的 Mac 地址,imei 等手段,把原有设备伪造成 N 多新的设备,绕过中小平台的风控策略,以薅取电商平台的优惠券或者低价购买平台产品。因此,在很短的时间内,会有重复的 IP 地址、Mac地址、imei等信息不断出现,但中小电商从自身平台看到的上述数据,都是一个个真实的设备。 总而言之,羊毛世界水很深,下面,让我们复盘下雷锋网曾经对羊毛江湖的报道,拼多多可以来划个重点。 羊毛党的趋势和羊毛党的新招数 羊毛党 1、初期是小作坊。 一个人有多个账号,邀请亲朋好友可以拿到一些返现红包、邀请红包。这个在电商时代比较典型,也是商家愿意看到的一些正常引流方式。 2、包工头。 一个稍具有规模的羊毛党的团体,接到单,对某个店铺进行交易量的刷单,还有一些广告任务。这个规模主要是以学生、家庭主妇为主,撸个小钱,最典型的可能就是一些注册账号,绑定一些身份证账号或者是银行卡号,还有是做一些人脸认证,还包括一些下单的刷单交易、点击广告。 其实,在这一块儿有比较多的欺诈产生。之前经常会看到新闻,学生被骗,或者是某某被骗,主要也是在这里,他刷单自己投入资金,前期他投资会给他一定的返现,随着后面投的钱多,就会被骗,会遇到直接拿着钱跑路的情况。 3、专业刷手。 这个团体已经是比较专业的了,基本上已经形成了上下游完整的产业链。 像专业刷手,是一个团队,可以直接对活动进行狂撸、狂薅,月入万元是很轻松的,甚至是更多。这个比较典型的场景就像 O2O、电商,还有在共享、互联网、互金等。在互联网业务全面开花,规模也成型了。 2014年之后,开始出现针对互金的羊毛党。 主要就是有一些内部平台,因为内部人员也想拉新、募集资金,可能就和羊毛团的团长直接谈判,谈判一些拉新的返现,还有一些能力不强的团长(羊头),可能还有一些上级的代理,这个代理可能是一些广告公司或者第三方平台。 随着政策的收紧,包括网站平台的跑路,羊毛党也有风险的,所以这一块儿相对比 2014、2015年,2015 年是羊毛党发展最好的,现在羊毛党也有一些风险。 产业链 产业链里主要是各种活动信息的共享,还有薅羊毛经验的交流。网上有好多社区、论坛、QQ 群,群里会有羊头,他从平台内部或者上级代理拿一些任务,进行任务分发。 职业刷手也会在论坛或群里发一些作案的手法还有教程出售,由黑客来寻找漏洞,制作一些软件和工具。比如批量注册的软件、刷单的软件、IP 的代理、各种模拟器、群控软件等。 有了这些工具之后,职业的刷手还需要一些账号,账号有卡商和专门出售账号的团伙,卡商基本上会从运营商内部或者代理处拿一些卡,有专业的设备来养卡。 账号基本上从地下施工库,还有一些黑客进行一些脱库、撞库包括一些木马来采集的一些用户的隐私信息。还有一些钓鱼网站,当然还有一部分就是内鬼泄漏一些我们的用户隐私信息。比如,大家之前经常接到一些广告电话,包括从房产中介、甚至是物业都会泄露一些用户信息。还有一些批量的注册软件注册一些账号。 这些账号也分等级,不同等级的账号卖的价格不一样,有些最初的账号可能信息有限,还有一批账号可能绑定了一些身份证、银行卡,这个账号可能质量稍微高一些,卖的价钱贵一些。也专门有团伙来进行账号的清洗,还有对账号进行养白,养白就是这些白账号可以正常地参加活动或其它的交易。 接码平台,主要就是有工具、账号之后,大家注册后一般会收到短信验证或者是用图文验证、或是语音说几句话,这些都有专业的接码平台,用户发送的这些信息直接就通过卡上的号码,直接被电脑提取到一个软件上,这个软件后面就有一些人工进行读码,读取到我这个短信是多少,然后再返回给前端的软件。 最后面的就是一些套现和协助销赃,比如某一次活动搞的一些充值卡、优惠卡,这个销赃的时候会折扣收买给代理商、店铺,比如说充值卡,充值卡抢到的是多少面额的,可能折扣卖给商家,商家再以一定的折扣再卖给用户,中间就会赚取一些差价。 还有一些实物的二手市场的一些转卖,这个是信息共享的一些论坛和 QQ 群,基本上各种活动信息,包括一些网盘上的工具,还有一些 QQ 群,基本上都是信息的共享和任务的分发。 还有群控软件,基本上通过主控设备做操作,就能同步到所有的设备上,通过这个就可以登录多个账号进行一些操作。 新趋势 电商购物节点促销活动上遭遇的薅羊毛往往呈现出集群化作弊的现象,成百上千部手机刷同一个APP的新手红包、优惠券。电商平台推出的几万个限量红包就会在极短的时间内,被羊毛党薅走,这样在大促时电商拿出的推广费用,全都被羊毛党薅走,并不能达到预期的推广效果,也不能给平台用户带来真正的实惠。 当然,大部分黑产还是老的薅羊毛手法,目前存在的一些新手法,其实技术思路其实都是和以前一样的,比如去年发现了一些通过投毒一些通用组件,做插入恶意js做引流或者通过恶意js挖矿的案例。 不过,相对前几年而言,当前薅羊毛有几个新的关注点: 一些高级的技巧,比如利用数据库主从分离和缓存使用高并发的条件竞争进行优惠券获取或者刷单。 过去薅羊毛可能仅仅是‘钱’,而现在更多的还有可能是数据,比如有做信用评级的公司,很有可能通过接口来获取信息,而本来这些信息是需要第三方付费才能使用的。 一些开放平台存在漏洞,比如微博这样的大社交平台,如果存在漏洞可以进行引流,从而变现。 攻防对抗 最开始的就是弱防护,弱防护基本像专业杀手或者是黑灰产就通过模拟器,基本上就可以达到集中式的一些方位,或者做一些薅羊毛的事情。 随着弱防护加上了,还有一些基础手段,比如设备识别,识别 IMEI 号或者是其它一些信息甄别这个设备。这个也有针对性地出现了一些设备牧场,设备牧场的这种攻击,基本上在一部分上就绕过了对真机的检测。 验证(电话验证),电话验证上下形成一些短信,包括一些语音验证,这是攻的手段,防的手段也有专业的设备,比如说猫池,卡商就会把一些卡放到猫池的设备上,可以简单理解成虚拟的手机,手机设备可以插多张卡,这个设备连接到电脑,就可以直接读取上行的短信,并且下行发短信。 后期的一些防范手段又出现了各种验证码,像图文的、文字、问答式的,包括现在出现了一些滑动的行为式的,还有点击式的。攻的手段也有打码平台,后台是人工打码,就是人工来识别验证码。所以,攻防对抗是不断在持续演进。 除了产业链这些攻防对抗的手段,还需要做哪些? 1.端上做保护。 比如说针对一些批量刷接口的情况,可以做一些接口协议上的保护,还有业务逻辑上的一些防护,比如一些活动的一些逻辑防护(推理的一些算法,或函数之类的)。 2.完善产品逻辑。 比如刚才的薅样毛案例一,天猫商城的生日积分,它就是业务规则上有漏洞,包括有些产品逻辑上也有漏洞,比如限制这个活动只能参加一次,或者一天只能参加几次,这个是业务上的漏洞。还有开发代码上有一些漏洞,实际上也是逻辑上的遗漏。 3.防撞库和脱库、用户的信息保护。 主要是进行一些弱密检测,还有泄露的一些账号,包括黑灰产拿账号进行撞库清洗,这块儿也要做一些防护。 [详情]
一夜之间,拼多多被“薅羊毛”200多亿元? 1月20日,拼多多被爆凌晨开始出现重大Bug,用户可以领取100元无门槛券。大批羊毛党连夜赶往拼多多薅羊毛。 据新浪微博“互联网的那点事”爆料:“从20日凌晨开始,拼多多出现了一个超级大Bug,用户可以领取100元无门槛券,注意是领取,不是抢购。专职羊毛党发现了这个大Bug,半夜打电话喊人薅羊毛!有的大牛已经领了上千张100元无门槛券,怕被抓进去于是把领券方式公布于众,于是大批用户开启了薅羊毛节奏。”“互联网的那点事”更进一步爆料称,“一晚上200多亿元都是话费充值。” 针对BUG事件,拼多多方面接受《中国经营报》采访回应称,“1月20日凌晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。”拼多多公关部人士告诉记者,20日上午开始发现一批伪造的截图,包括“拼多多公关微信聊天记录、腾讯、新浪等的Push,明显有人在恶意推动”。 另据接近拼多多内部消息人士透露,“总金额没有200多亿元那么多,目前统计数字在几千万元。”[详情]
Copyright © 1996-2019 SINA Corporation, All Rights Reserved
新浪公司 版权所有