崔鵬

疑似黑產(chǎn)軍團(tuán)已殺向拼多多

1月20日上午，大量網(wǎng)友在社交平臺發(fā)布消息稱，從當(dāng)日凌晨開始，《拼多多》上出現(xiàn)重大BUG，用戶可以直接領(lǐng)取100元無門檻優(yōu)惠券。這一BUG被“羊毛黨”發(fā)現(xiàn)后迅速在網(wǎng)絡(luò)傳播，直至當(dāng)日上午10點(diǎn)左右，系統(tǒng)才被官方修復(fù)，相關(guān)優(yōu)惠券被全部下架。

一時(shí)間，各種傳言開始在網(wǎng)絡(luò)上散布，比如拼多多一夜損失200億元，用戶“薅羊毛”充話費(fèi)或Q幣被拼多多客服威脅起訴等，后來都被證實(shí)為謠言。

拼多多官方表示，有黑灰產(chǎn)團(tuán)伙通過一個(gè)過期的優(yōu)惠券漏洞，盜取數(shù)千萬元平臺優(yōu)惠券，進(jìn)行不正當(dāng)牟利，平臺已第一時(shí)間修復(fù)漏洞，并對涉事訂單進(jìn)行溯源追蹤，同時(shí)已向公安機(jī)關(guān)報(bào)案。

官方聲明無法阻擋網(wǎng)友議論的熱情，當(dāng)日拼多多相關(guān)話題多次登上新浪微博和百度的熱搜榜。不斷有網(wǎng)友在社交平臺上曬出成千上萬元的話費(fèi)和Q幣充值記錄，部分用戶為應(yīng)對潛在的拼多多追責(zé)風(fēng)險(xiǎn)，聲稱已將Q幣消費(fèi)，轉(zhuǎn)換為游戲道具交易出手。

在這場“羊毛黨”和疑似黑產(chǎn)勢力的狂歡中，有很多令人好奇的地方，包括漏洞到底何時(shí)被發(fā)現(xiàn)，中間漫長的業(yè)務(wù)鏈條中哪個(gè)環(huán)節(jié)出了問題，拼多多又做了怎樣的處理，受影響的商戶有多少等。

對于上述問題，截至發(fā)稿前，仍無明確說法。拼多多在回復(fù)相關(guān)媒體問詢時(shí)回應(yīng)稱，警方調(diào)查期間，暫時(shí)不方便披露案件相關(guān)細(xì)節(jié)，后續(xù)有最新進(jìn)展會(huì)第一時(shí)間跟大家同步。

有別于以往的三大特點(diǎn)

從目前公開信息看，本次拼多多優(yōu)惠券有幾個(gè)問題較為特殊。

首先，卡券的領(lǐng)取數(shù)量沒有上限。無門檻優(yōu)惠券，與常見的“滿減”優(yōu)惠券不同，后者能借助少量補(bǔ)貼拉動(dòng)大量用戶消費(fèi)，有助于電商平臺完成GMV等主要經(jīng)營數(shù)據(jù)；而前者不需要用戶進(jìn)行任何額外消費(fèi)，幾乎等同于給用戶“送錢”。

所以通常全場通用的無門檻優(yōu)惠券都會(huì)進(jìn)行領(lǐng)取限制，比如針對同一賬號、手機(jī)號和設(shè)備ID等進(jìn)行購買數(shù)量限制。在現(xiàn)有的拼多多其他優(yōu)惠券中，也標(biāo)注著“如有發(fā)現(xiàn)惡意刷券等違規(guī)行為，平臺有權(quán)在法律范圍內(nèi)進(jìn)行相應(yīng)處理”等字樣。

不過，拼多多似乎并未設(shè)置本次優(yōu)惠券的領(lǐng)取上限，加上該優(yōu)惠券不是傳統(tǒng)的“搶購”設(shè)置，而是隨意領(lǐng)取，這也直接導(dǎo)致拼多多官方口徑中的“數(shù)千萬元”資產(chǎn)損失產(chǎn)生。

其次，無門檻優(yōu)惠券能兌換虛擬商品。電商平臺從業(yè)者劉昕（化名）告訴筆者，一般來說，無門檻優(yōu)惠券不能兌換虛擬產(chǎn)品（包括話費(fèi)、Q幣和游戲點(diǎn)卡等）以及金銀等貴金屬投資品。從各大平臺實(shí)際情況看，全場通用的優(yōu)惠券通常會(huì)標(biāo)注“虛擬商品除外”字樣。

虛擬商品交易是網(wǎng)絡(luò)黑產(chǎn)的慣用“洗錢”手法，所以被各大電商平臺所重視，在優(yōu)惠券使用范圍上進(jìn)行嚴(yán)格限制。同時(shí)，禁止兌換虛擬商品，也便于追蹤黑產(chǎn)身份，畢竟實(shí)物商品需要郵寄地址。

本次事件里，拼多多優(yōu)惠券卻可以無障礙兌換前述虛擬商品。在筆者采訪過程中，諸多從業(yè)者對此表示驚訝。

最后，無門檻優(yōu)惠券金額為何如此大。與普通滿減優(yōu)惠券不同，無門檻優(yōu)惠券的金額通常都不大，尤其是能兌換虛擬商品的優(yōu)惠券，額度在個(gè)位數(shù)的較多。在京東和淘寶等平臺，話費(fèi)優(yōu)惠券一般不超過5元。而本次拼多多的優(yōu)惠券面額為100元，這類大額無門檻優(yōu)惠券并不屬于常見類型，尤其是考慮到其不設(shè)上限的領(lǐng)取數(shù)量。

對于拼多多這樣一家體量僅次于阿里巴巴和京東的電商巨頭來說，它在設(shè)計(jì)、測試、上線和風(fēng)控等多個(gè)流程中，應(yīng)該都有嚴(yán)格的安全保護(hù)措施，以及錯(cuò)誤預(yù)警和處理方案，然而這次優(yōu)惠券事件對它的技術(shù)和安全口碑無疑會(huì)產(chǎn)生影響。

“薅了羊毛”的用戶怎么辦

另外一個(gè)被廣泛關(guān)心的問題是，那些“薅羊毛”的普通用戶，拼多多該如何處理。目前拼多多未就此作進(jìn)一步說明。

與涉嫌違法犯罪的網(wǎng)絡(luò)黑產(chǎn)不同，“薅羊毛”行為在互聯(lián)網(wǎng)用戶間較為常見。此前其他公司也遇到過類似漏洞，一般在確認(rèn)系平臺工作失誤并且損失不大的情況下，會(huì)選擇自我承擔(dān)損失。

2017年12月31日，騰訊視頻曾被爆出系統(tǒng)BUG，用戶僅需支付0.2元就能獲得價(jià)值20元的視頻會(huì)員，并且同一賬戶可以多次購買。該漏洞出現(xiàn)后半小時(shí)，騰訊便發(fā)現(xiàn)并將其關(guān)閉，但即便如此，仍有39萬名用戶參與，生成訂單287萬筆，簡單計(jì)算可知騰訊視頻因此損失超過5 600萬元會(huì)員費(fèi)。

2018年1月5日，在最終調(diào)查結(jié)束后，騰訊視頻宣布該問題由其工作失誤所致，用戶購買的異常訂單，騰訊將全部兌現(xiàn)，并不再扣費(fèi)。

不過，自2019年1月1日起正式施行的《電子商務(wù)法》第四十九條有如下規(guī)定：電子商務(wù)經(jīng)營者發(fā)布的商品或者服務(wù)信息符合要約條件的，用戶選擇該商品或者服務(wù)并提交訂單成功，合同成立。當(dāng)事人另有約定的，從其約定。電子商務(wù)經(jīng)營者不得以格式條款等方式約定消費(fèi)者支付價(jià)款后合同不成立；格式條款等含有該內(nèi)容的，其內(nèi)容無效。

查閱拼多多《拼多多服務(wù)協(xié)議》可知，在“用戶守則”之下，包含有“禁止使用拼多多平臺外掛或利用拼多多平臺當(dāng)中的BUG來獲得不正當(dāng)?shù)睦妗钡募s定內(nèi)容。

上海大邦律師事務(wù)所高級合伙人游云庭告訴筆者，從目前披露的信息來看，拼多多優(yōu)惠券是一起民事案件，而不是刑事案件，它屬于平臺自己產(chǎn)品設(shè)計(jì)的問題，而不是黑客攻擊導(dǎo)致，如果拼多多需要維權(quán)，這次事件在法律上可能構(gòu)成“重大誤解”。

根據(jù)《民法通則》顯示，重大誤解，指的是一方當(dāng)事人因自己的過錯(cuò)導(dǎo)致對合同的內(nèi)容等發(fā)生誤解而訂立了合同。重大誤解行為，在法律上屬于可撤銷行為，但一般行使撤銷權(quán)需要通過法院進(jìn)行。

實(shí)際上，法院為了保護(hù)交易安全，在“重大誤解”的案件判決上非常謹(jǐn)慎，如果只是一兩百元的小額事件不會(huì)輕易判決。游云庭認(rèn)為，如果用戶沒有使用優(yōu)惠券，拼多多禁止其使用并無問題，但如果用戶已經(jīng)將優(yōu)惠券消費(fèi)掉，拼多多不應(yīng)在法院沒有判決前直接凍結(jié)相關(guān)交易。

網(wǎng)絡(luò)黑產(chǎn)陰魂不散？

作為一家美股上市公司，拼多多需要在本季度財(cái)報(bào)中披露這次漏洞事件所帶來的實(shí)際損失數(shù)據(jù)。優(yōu)惠券如果用于平臺自營商品，需要在財(cái)報(bào)中計(jì)算為銷售成本，優(yōu)惠券用戶和第三方商戶，則計(jì)算為營銷成本。

財(cái)報(bào)顯示，2018年第三季度，拼多多營收為33.72億元，歸屬于普通股股東的凈虧損為10.98億元。從這個(gè)數(shù)據(jù)來看，若本次事件中最終損失數(shù)千萬元，對拼多多來說影響不小。與此前騰訊視頻和東航等公司的BUG事件不同，本次拼多多對外表示有網(wǎng)絡(luò)黑產(chǎn)勢力牽扯進(jìn)入。

利用公司業(yè)務(wù)漏洞而進(jìn)行違規(guī)操作，在網(wǎng)絡(luò)黑產(chǎn)行為中所占的比例并不小。騰訊安全的數(shù)據(jù)顯示，截至2018年底，騰訊綜合安全服務(wù)平臺受理的用戶有效舉報(bào)超過1 247萬次，受理舉報(bào)打擊最多的類型為詐騙，其次是黃賭毒，第三就是違規(guī)使用騰訊業(yè)務(wù)，占比為8%，按數(shù)字計(jì)算接近百萬級。對于P2P和電商等行業(yè)而言，與網(wǎng)絡(luò)黑產(chǎn)的斗爭是一項(xiàng)長期而復(fù)雜的工程，各家公司尤其是巨頭都非常重視，有一套相對完整的應(yīng)對流程，拼多多也理應(yīng)有充足準(zhǔn)備。最后，本次事件中暴露出的諸多謎團(tuán)，有待拼多多披露更多新消息來揭開。