1月20日凌晨,拼多多平台出现系统漏洞,用户可以领取100元无门槛券。因此开始出现大批用户借此“薅羊毛”,利用无门槛券下单虚拟商品,例如充话费或Q币等等,并一度有消息传出,拼多多将因此损失200亿元。
针对此事,拼多多先后发布了两则官方声明。拼多多方面回应,1月20日晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,拼多多已第一时间修复漏洞,并对涉事订单进行溯源追踪。同时拼多多已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。
随后,拼多多又针对资损200亿一事发表声明,称实际最终资损或低于千万元人民币,没想到在系统没有任何数据安全漏洞的情况下,灰黑产还能利用规则漏洞薅走总价值数千万的优惠券。羊毛党刚散,亡羊补牢中,已向警方报案,最终还能追回不少,实际资损大概率低于千万元。
拼多多相关发言人还在朋友圈表示:“真的没有200亿,深更半夜的……全国人民全部起来每人薅十块钱,大家觉得可能么……就看周一三大运营商会不会涨停了”。
在这则辟谣声明过后,#拼多多实际损失或低于千万#的话题也登上了新浪微博热搜榜的前五位。但疯狂的羊毛党喧嚣过后,拼多多又该如何快速止损和解决此事?羊毛党在互联网环境下存在已久,平台的预警机制和风控系统该如何升级防范?为何黑产能利用规则漏洞薅走价值数千万的优惠券,主打算法驱动的拼多多还有哪些必须的功课要做?
针对拼多多被“薅羊毛”一事,亿邦动力与行业内多位CTO和技术人士进行了讨论,希望从不同角度看待这一事件。(注:本篇文章的受访者从事行业涵盖了传统电商平台、社交电商平台、零售品牌、传统连锁零售品牌以及零售行业技术服务商等,应受访者要求,均采用匿名形式进行表现。)
修复 砍单 止损
毫无疑问,快速修复漏洞是所有人的第一选择。在这次调查中,几乎所有的CTO和技术人士都回答首先要止损,下架相关优惠券减少影响,进行紧急补救。
有超过5位的受访CTO表示,大的电商平台都难免要遭受黑产的攻击。对于这种情况,平台需要首先安抚用户和商家,针对实体商品直接进行砍单止损,通过技术在后台取消订单,尽可能的减少损失是头等大事。但是黑产“羊毛党”肯定不会买实物商品,类似于话费、Q币类订单很难追回。
有多位受访者表示,在法律允许内的范围内,恶意被人利用漏洞的话是可以直接砍单,已经付出的成本可以要求用户退还。当然这个成本很高,已经超出了一个CTO的负责范围,这个时候技术团队要和运营团队、法务团队、客服团队、商家服务团队和公关团队都联动起来,想办法止损。
“如果是我负责的话,我应该还会清理数据,看看利用优惠券下单的用户哪些是自然人,哪些是黄牛。”一位连锁零售品牌的技术负责人向亿邦动力表示,虽然表面上看起来都是手动“薅羊毛”,但背后肯定是程序操作占绝大多数。
系统bug?操作失误?
根据拼多多的官方回复,此次事件是因为黑产利用了规则漏洞盗取了优惠券,而具体原因尚未得知。关于背后原因的传言也众说纷纭,这一损失究竟是人为操作失误造成还是技术漏洞的影响呢?
超过3位有电商平台工作经验的技术人士表示,这种漏洞其实是属于常规的Bug,并没有很特殊,很多电商平台都会有类似的漏洞,刷优惠券刷积分的羊毛党到处都是。但是拼多多流量大,受关注度较高,加上100元优惠券的额度比较大,导致了这次事件的影响较大。
不过,也有4位受访者认为,从目前公布的信息来看,更像是人为的操作问题。
有一位零售业技术提供商认为,这次事件的原因可能是程序开发问题,在开发时限制条件写错了,或者这个优惠券是测试数据,没有及时删除。“系统应该会对无门槛券进行设置,领券的对象会有针对性的限制条件,而不是平台每个账号都能领,这个限制条件应该是存在漏洞。”
另一位电商平台的技术负责人判断,现在黑产都是用程序自动监控各网站的优惠券,所以优惠券放出来后立刻就被发现了。“我觉得不能算程序bug,应该是人为操作失误,同时也暴露了拼多多内部的流程不完善,审核有问题,无门槛券风险极大,很多平台都需要多级审批。一旦触发相关预警机制,系统会自动给几十个相关负责人发短信通知。”
拼多多的学费
正如上述人士所言,拼多多除了止损和修复,也要借此事重新建设预警机制和风控系统,以及内部的相关工作流程。有信息显示,直到今天早上10点左右,拼多多这一BUG才被修复。
几乎所有的受访者都判断拼多多在预警和风控上没有做到位。“营销系统是电商核心系统之一,各种条件的设置非常复杂,有互斥的、并列的等等。从管理上来讲,技术肯定要背负一定责任。拼多多在补上漏洞后,应该注意后续的防范措施,这个事件说明它缺少基本的熔断机制,没有预警。如果防范意识足够高,风控团队和系统是可以帮助拦截的。”一位SaaS平台的技术负责人表示。
“这种bug是低级类错误,本身是容易发现的,在业内比较常见。如果是实物产品设置错价格,这种责任人的责任就较大;如果是技术漏洞,那就立即暂停业务,技术补救,一般不会有人追责。”一位电商平台的CTO表示。
在和多位受访者沟通中,亿邦动力发现,实际上这种案例时常发生,只不过多数公司没有报道出来。据一位受访者透露,曾有互联网金融公司遭遇过类似事件,损失超过一个亿,通过及时补救和追回,实际损失也只有一千万。
不可置否,在互联网的生存环境下,规模越大,风险就越大。“越不起眼的地方,越可能出个大炸弹,要敬畏每一个细节。年底逼近,你放松了,羊毛党并没有放松。所有CTO、COO,或许都要做个自我检视,要重视信息安全和风险管理。”一位零售品牌的CTO感叹道。
“这种事情就像交学费,没发生时,没有人会觉得有问题。对于发展中的公司来说,损失大过成本了,公司才会有投入的,由技术提出加大这方面预算是很难的,老板不信,投资人不信。这都是发展的必经阶段,没有一家公司一开始就是完善的。”一位传统电商平台的相关技术负责人在最后评价道。
编者按:本文来自微信公众号“亿邦动力网”(ID:iebrun),作者 杜征帆。