|
1月21日消息�,從昨日凌晨開始,拼多多平臺出現(xiàn)系統(tǒng)漏洞��,用戶可以領取100元無門檻券����。因此開始出現(xiàn)大批用戶借此“薅羊毛”,利用無門檻券下單虛擬商品�����,例如充話費或Q幣等等����,并一度有消息傳出,拼多多將因此損失200億元�。 針對此事,拼多多先后發(fā)布了兩則官方聲明���。拼多多方面回應�,1月20日晨�,有黑灰產(chǎn)團伙通過一個過期的優(yōu)惠券漏洞盜取數(shù)千萬元平臺優(yōu)惠券,進行不正當牟利�����。針對此行為��,拼多多已第一時間修復漏洞�,并對涉事訂單進行溯源追蹤。同時拼多多已向公安機關報案����,并將積極配合相關部門對涉事黑灰產(chǎn)團伙予以打擊。 隨后,拼多多又針對資損200億一事發(fā)表聲明��,稱實際最終資損或低于千萬元人民幣�,沒想到在系統(tǒng)沒有任何數(shù)據(jù)安全漏洞的情況下,灰黑產(chǎn)還能利用規(guī)則漏洞薅走總價值數(shù)千萬的優(yōu)惠券�。羊毛黨剛散,亡羊補牢中�����,已向警方報案�,最終還能追回不少,實際資損大概率低于千萬元��。 拼多多相關發(fā)言人還在朋友圈表示:“真的沒有200億�,深更半夜的……全國人民全部起來每人薅十塊錢,大家覺得可能么……就看周一三大運營商會不會漲停了”���。 在這則辟謠聲明過后���,#拼多多實際損失或低于千萬#的話題也登上了新浪微博熱搜榜的前五位。但瘋狂的羊毛黨喧囂過后��,拼多多又該如何快速止損和解決此事�����?羊毛黨在互聯(lián)網(wǎng)環(huán)境下存在已久,平臺的預警機制和風控系統(tǒng)該如何升級防范���?為何黑產(chǎn)能利用規(guī)則漏洞薅走價值數(shù)千萬的優(yōu)惠券,主打算法驅(qū)動的拼多多還有哪些必須的功課要做���? 針對拼多多被“薅羊毛”一事�����,億邦動力與行業(yè)內(nèi)多位CTO和技術(shù)人士進行了討論��,希望從不同角度看待這一事件���。(注:本篇文章的受訪者從事行業(yè)涵蓋了傳統(tǒng)電商平臺、社交電商平臺�����、零售品牌�、傳統(tǒng)連鎖零售品牌以及零售行業(yè)技術(shù)服務商等,應受訪者要求�����,均采用匿名形式進行表現(xiàn)。) 修復 砍單 止損 毫無疑問����,快速修復漏洞是所有人的第一選擇。在這次調(diào)查中��,幾乎所有的CTO和技術(shù)人士都回答首先要止損����,下架相關優(yōu)惠券減少影響,進行緊急補救��。 有超過5位的受訪CTO表示����,大的電商平臺都難免要遭受黑產(chǎn)的攻擊。對于這種情況�,平臺需要首先安撫用戶和商家,針對實體商品直接進行砍單止損��,通過技術(shù)在后臺取消訂單���,盡可能的減少損失是頭等大事����。但是黑產(chǎn)“羊毛黨”肯定不會買實物商品,類似于話費�����、Q幣類訂單很難追回�。 有多位受訪者表示��,在法律允許內(nèi)的范圍內(nèi)��,惡意被人利用漏洞的話是可以直接砍單����,已經(jīng)付出的成本可以要求用戶退還。當然這個成本很高��,已經(jīng)超出了一個CTO的負責范圍����,這個時候技術(shù)團隊要和運營團隊、法務團隊���、客服團隊����、商家服務團隊和公關團隊都聯(lián)動起來,想辦法止損�。 “如果是我負責的話,我應該還會清理數(shù)據(jù)����,看看利用優(yōu)惠券下單的用戶哪些是自然人,哪些是黃牛�。”一位連鎖零售品牌的技術(shù)負責人向億邦動力表示�,雖然表面上看起來都是手動“薅羊毛”,但背后肯定是程序操作占絕大多數(shù)���。 系統(tǒng)bug��?操作失誤�����? 根據(jù)拼多多的官方回復�,此次事件是因為黑產(chǎn)利用了規(guī)則漏洞盜取了優(yōu)惠券��,而具體原因尚未得知�。關于背后原因的傳言也眾說紛紜�����,這一損失究竟是人為操作失誤造成還是技術(shù)漏洞的影響呢���? 超過3位有電商平臺工作經(jīng)驗的技術(shù)人士表示,這種漏洞其實是屬于常規(guī)的Bug�,并沒有很特殊,很多電商平臺都會有類似的漏洞�,刷優(yōu)惠券刷積分的羊毛黨到處都是。但是拼多多流量大�����,受關注度較高���,加上100元優(yōu)惠券的額度比較大,導致了這次事件的影響較大�����。 不過���,也有4位受訪者認為���,從目前公布的信息來看�,更像是人為的操作問題��。 有一位零售業(yè)技術(shù)提供商認為�,這次事件的原因可能是程序開發(fā)問題,在開發(fā)時限制條件寫錯了��,或者這個優(yōu)惠券是測試數(shù)據(jù)�,沒有及時刪除?�!跋到y(tǒng)應該會對無門檻券進行設置����,領券的對象會有針對性的限制條件,而不是平臺每個賬號都能領�,這個限制條件應該是存在漏洞?����!?/span> 另一位電商平臺的技術(shù)負責人判斷���,現(xiàn)在黑產(chǎn)都是用程序自動監(jiān)控各網(wǎng)站的優(yōu)惠券��,所以優(yōu)惠券放出來后立刻就被發(fā)現(xiàn)了����。“我覺得不能算程序bug�,應該是人為操作失誤,同時也暴露了拼多多內(nèi)部的流程不完善���,審核有問題���,無門檻券風險極大,很多平臺都需要多級審批�����。一旦觸發(fā)相關預警機制�����,系統(tǒng)會自動給幾十個相關負責人發(fā)短信通知��?!?/span> 拼多多的“學費” 正如上述人士所言�,拼多多除了止損和修復�����,也要借此事重新建設預警機制和風控系統(tǒng)��,以及內(nèi)部的相關工作流程�。有信息顯示��,直到今天早上10點左右�����,拼多多這一BUG才被修復�。 幾乎所有的受訪者都判斷拼多多在預警和風控上沒有做到位?!盃I銷系統(tǒng)是電商核心系統(tǒng)之一,各種條件的設置非常復雜�,有互斥的、并列的等等�����。從管理上來講��,技術(shù)肯定要背負一定責任。拼多多在補上漏洞后�,應該注意后續(xù)的防范措施,這個事件說明它缺少基本的熔斷機制���,沒有預警�。如果防范意識足夠高���,風控團隊和系統(tǒng)是可以幫助攔截的���。”一位SaaS平臺的技術(shù)負責人表示�。 “這種bug是低級類錯誤,本身是容易發(fā)現(xiàn)的����,在業(yè)內(nèi)比較常見。如果是實物產(chǎn)品設置錯價格�����,這種責任人的責任就較大;如果是技術(shù)漏洞,那就立即暫停業(yè)務��,技術(shù)補救,一般不會有人追責����。”一位電商平臺的CTO表示�。 在和多位受訪者溝通中,億邦動力發(fā)現(xiàn)�,實際上這種案例時常發(fā)生,只不過多數(shù)公司沒有報道出來���。據(jù)一位受訪者透露����,曾有互聯(lián)網(wǎng)金融公司遭遇過類似事件��,損失超過一個億�,通過及時補救和追回,實際損失也只有一千萬����。 不可置否,在互聯(lián)網(wǎng)的生存環(huán)境下����,規(guī)模越大,風險就越大?����!霸讲黄鹧鄣牡胤?�,越可能出個大炸彈�,要敬畏每一個細節(jié)。年底逼近���,你放松了���,羊毛黨并沒有放松。所有CTO����、COO,或許都要做個自我檢視��,要重視信息安全和風險管理��?����!币晃涣闶燮放频腃TO感嘆道�����。 “這種事情就像交學費�,沒發(fā)生時,沒有人會覺得有問題����。對于發(fā)展中的公司來說,損失大過成本了���,公司才會有投入的��,由技術(shù)提出加大這方面預算是很難的��,老板不信��,投資人不信��。這都是發(fā)展的必經(jīng)階段�����,沒有一家公司一開始就是完善的�。”一位傳統(tǒng)電商平臺的相關技術(shù)負責人在最后評價道���。
|
