安全专家评拼多多事件：风控及防漏洞能力都亟待提高

　　安全专家评拼多多事件：风险控制及防漏洞能力都亟待提高

　　郑洁瑶

　　除了那些有组织作案的使用了大量新注册账号的黑灰产薅来的羊毛可以通过法院的帮助讨回，其他的损失，拼多多或许也只能认了。

　　1月20日，有用户表示，今日凌晨，拼多多平台现巨大Bug，100元无门槛劵可任意领取。直到20日上午9点，该优惠券的领取通道才被官方正式下架。

　　20日午间，拼多多连续发表两则声明，一则表示，20日凌晨确有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券，另一则则表示，拼多多实际最终资损或低于千万元人民币，且灰黑产是在没有任何数据安全漏洞的情况下利用规则漏洞薅走总价值数千万的优惠券的。

　　下午，拼多多官方服务号发布公告称：很抱歉因系统故障出现少量误发优惠券，系统已自动回收，如果您在此名单，您将收到平台赠送的5元无门槛优惠券，50年有效，系统将于48小时内自动发送到您的用户账号中，感谢您的理解。

　　风险预警规则缺失

　　知道创宇反信息诈骗专家潘少华对界面新闻表示，过去，虽然其他平台也有出现过类似的bug，但像拼多多这种百元额度的大优惠券漏洞还是很少会发生，因为平台上这类大额优惠券都是需要层层审批的，一方面运营很少会配置这么大额度的优惠券，另一方面大多数平台也都会有异常预警与差错处理。

　　除此以外，像淘宝和京东这类大的电商平台对于优惠券本身的使用限制也是相当大的，例如绝大多数都会标注虚拟商品不可用，且优惠券的领取概率也和登陆IP、账号等级等信息息息相关。

　　无门槛领取优惠券对电商平台来说本身就是一个规则漏洞。而如今拼多多会出现这种问题，只能说其风险控制、预警机制、技术和运营的防漏洞能力都亟待提高。

　　虚拟商品损失难追讨

　　事实上，像今天拼多多这样的事件并非第一次发生了。

　　上一个出现类似Bug的是东航，2018年11月17日，东方航空官方APP、网站突然出现大量0.4折机票，当日午间，东航即发表回应，称此次“白菜价”机票系于系统维护时售出，所有支付成功并已出票的机票均为有效。

　　而在另一则公告中，东方航空公司则解释了此次“白菜价机票”事件的原因：在进行价格维护时出现参数异常，导致部分网络销售平台出现异常票价的销售出票情况。

　　而2018年4月，小米旗下的米家有品商城也曾出现过价格Bug：原价599元的商品只需要0.01元就可购买。但因为所购商品都是实体物品，平台发现Bug时商品也还未寄出，最终，米家有品提供的解决方案是取消订单并赠送用户优惠券。

　　在这些案例里，虚拟商品售出后，企业要想追讨通常都是很难的，此前京东、苏宁、联想等电商商城也曾出现过类似拼多多这种给用户送优惠的Bug，但大部分公司最后都选择了自掏腰包为错误买账。

　　而这次，如果拼多多无法向警方证明这次Bug不是平台自己的失误而是黑产恶意的攻击，那大概率会被归为民事纠纷案件，换句话说，除了那些有组织作案的使用了大量新注册账号的黑灰产薅来的羊毛可以通过法院的帮助讨回，其他的损失，拼多多或许也只能认了。

责任编辑：王涵