黑灰产一出手就是200多亿,这次遭殃的是拼多多

来源:FreeBuf.COM2019.06.20

拼多多成立于2015年9月,是一家专注于C2B拼团的第三方社交电商平台。用户通过发起和朋友、家人、邻居等的拼团,可以以更低的价格,拼团购买优质商品。其中,通过沟通分享形成的社交理念,形成了拼多多独特的新社交电商思维。

但是,自从拼多多成立以来就一直事故不断,不论是商品质量问题,各色山寨,还是频繁出现的BUG,每一次都能引发广泛的讨论。昨天晚上凌晨,拼多多再次曝出惊天BUG。同样是薅羊毛,只不过,这次被薅的有点多,不知道能不能承受的住。

 

image.png

从出现这个BUG开始到现在将近十二个小时的时间内,拼多多平台交易金额为338亿元,其中约263亿元为话费充值订单。也就是说拼多多被羊毛党薅了200多亿。当前为止拼多多市值为276亿美元附近,相当于这十二个小时内损失了十分之一的市值。

官方说法,发生该漏洞的原因并非系统升级导致的bug,而是市场活动的优惠券规则设计出现了漏洞,疑似程序员在设计优惠券的时候,只考虑了不限品类、无门槛使用的规则,却忘了最重要的前提:只能给新用户发放和使用。也正是这个原因,出现了一个超级大Bug,用户可以领取100元无门槛券,划个重点:是领取,不是抢购,无门槛的那种。

 

image.png

从众多网友晒出的图片看,此次100元无门槛券全场通用(特殊商品除外),有效期一年。有网友表示,凌晨3点多被同行“喊醒”,让来拼多多“薅羊毛”。

而脉脉职言板块更是有疑似当事人员工的帖子直言:年终奖没了。

 

image.png

今天上午9点,拼多多官方紧急将优惠券的领取方式全部下架。之前领到未使用的优惠券也被全部下架。这也引发少数常规用户的不满,大量网友在拼多多官微质问:“100元优惠券为什么不能用了?”

并且,从一位网友与拼多多的客服聊天可以看到,应该是后续账号可能被收回。

 

image.png

这并不是黑产、羊毛党第一次将手伸向电商平台,此前也有少数电商品台出现过类似的BUG事件,大部分平台选择了自掏腰包为错误买账。有些人认为官方的错误不应当向用户追责,但实际上,拼多多的条款中也确实有过说明:

 

image.png

简单来说,这个协议和合同是一个性质,用户注册成功即默认同意。这次的事件就像是高速公路上货车掉东西你上去捡漏差不多。

也就是说,利用这次BUG照常领券充值的,可能并不会有什么问题,但是那些动辄数十万数百万、利用漏洞获取不正当收益的羊毛党,可能不会就这么轻易的过去。这次拼多多的BUG涉及金额实在太大,目测平台承受不起这次的损失。他们后续怎么处理,我们静待官宣。

薅羊毛本是黑色产业链中的冰山一角,甚至严格来说更偏向灰产。羊毛党、黑产,长时间以来都在蚕食着互联网世界。现今,已有很多组织有序、规模不小的羊毛团伙,形成一条完整的产业链,对商家造成损失以及带来严重的社会问题。

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态