|
1月21日消息����,從昨日凌晨開始,拼多多平臺出現(xiàn)系統(tǒng)漏洞��,用戶可以領(lǐng)取100元無門檻券�。因此開始出現(xiàn)大批用戶借此“薅羊毛”,利用無門檻券下單虛擬商品����,例如充話費或Q幣等等,并一度有消息傳出����,拼多多將因此損失200億元。 針對此事����,拼多多先后發(fā)布了兩則官方聲明。拼多多方面回應(yīng)��,1月20日晨,有黑灰產(chǎn)團伙通過一個過期的優(yōu)惠券漏洞盜取數(shù)千萬元平臺優(yōu)惠券���,進行不正當(dāng)牟利����。針對此行為����,拼多多已第一時間修復(fù)漏洞,并對涉事訂單進行溯源追蹤��。同時拼多多已向公安機關(guān)報案���,并將積極配合相關(guān)部門對涉事黑灰產(chǎn)團伙予以打擊��。 隨后��,拼多多又針對資損200億一事發(fā)表聲明����,稱實際最終資損或低于千萬元人民幣��,沒想到在系統(tǒng)沒有任何數(shù)據(jù)安全漏洞的情況下���,灰黑產(chǎn)還能利用規(guī)則漏洞薅走總價值數(shù)千萬的優(yōu)惠券����。羊毛黨剛散�����,亡羊補牢中�����,已向警方報案�,最終還能追回不少,實際資損大概率低于千萬元�。 拼多多相關(guān)發(fā)言人還在朋友圈表示:“真的沒有200億,深更半夜的……全國人民全部起來每人薅十塊錢���,大家覺得可能么……就看周一三大運營商會不會漲停了”�。 在這則辟謠聲明過后��,#拼多多實際損失或低于千萬#的話題也登上了新浪微博熱搜榜的前五位����。但瘋狂的羊毛黨喧囂過后�,拼多多又該如何快速止損和解決此事�����?羊毛黨在互聯(lián)網(wǎng)環(huán)境下存在已久�����,平臺的預(yù)警機制和風(fēng)控系統(tǒng)該如何升級防范�����?為何黑產(chǎn)能利用規(guī)則漏洞薅走價值數(shù)千萬的優(yōu)惠券�,主打算法驅(qū)動的拼多多還有哪些必須的功課要做? 針對拼多多被“薅羊毛”一事�����,億邦動力與行業(yè)內(nèi)多位CTO和技術(shù)人士進行了討論�,希望從不同角度看待這一事件。(注:本篇文章的受訪者從事行業(yè)涵蓋了傳統(tǒng)電商平臺����、社交電商平臺、零售品牌��、傳統(tǒng)連鎖零售品牌以及零售行業(yè)技術(shù)服務(wù)商等���,應(yīng)受訪者要求���,均采用匿名形式進行表現(xiàn)。) 修復(fù) 砍單 止損 毫無疑問�,快速修復(fù)漏洞是所有人的第一選擇。在這次調(diào)查中�����,幾乎所有的CTO和技術(shù)人士都回答首先要止損�����,下架相關(guān)優(yōu)惠券減少影響�,進行緊急補救。 有超過5位的受訪CTO表示����,大的電商平臺都難免要遭受黑產(chǎn)的攻擊。對于這種情況�����,平臺需要首先安撫用戶和商家,針對實體商品直接進行砍單止損��,通過技術(shù)在后臺取消訂單���,盡可能的減少損失是頭等大事���。但是黑產(chǎn)“羊毛黨”肯定不會買實物商品,類似于話費����、Q幣類訂單很難追回。 有多位受訪者表示�����,在法律允許內(nèi)的范圍內(nèi)�����,惡意被人利用漏洞的話是可以直接砍單��,已經(jīng)付出的成本可以要求用戶退還�����。當(dāng)然這個成本很高,已經(jīng)超出了一個CTO的負(fù)責(zé)范圍��,這個時候技術(shù)團隊要和運營團隊�����、法務(wù)團隊�����、客服團隊�、商家服務(wù)團隊和公關(guān)團隊都聯(lián)動起來���,想辦法止損�����。 “如果是我負(fù)責(zé)的話�����,我應(yīng)該還會清理數(shù)據(jù)���,看看利用優(yōu)惠券下單的用戶哪些是自然人�����,哪些是黃牛���。”一位連鎖零售品牌的技術(shù)負(fù)責(zé)人向億邦動力表示��,雖然表面上看起來都是手動“薅羊毛”��,但背后肯定是程序操作占絕大多數(shù)���。 系統(tǒng)bug�����?操作失誤�����? 根據(jù)拼多多的官方回復(fù)�,此次事件是因為黑產(chǎn)利用了規(guī)則漏洞盜取了優(yōu)惠券�,而具體原因尚未得知�。關(guān)于背后原因的傳言也眾說紛紜���,這一損失究竟是人為操作失誤造成還是技術(shù)漏洞的影響呢����? 超過3位有電商平臺工作經(jīng)驗的技術(shù)人士表示���,這種漏洞其實是屬于常規(guī)的Bug,并沒有很特殊�,很多電商平臺都會有類似的漏洞,刷優(yōu)惠券刷積分的羊毛黨到處都是�。但是拼多多流量大,受關(guān)注度較高�,加上100元優(yōu)惠券的額度比較大,導(dǎo)致了這次事件的影響較大��。 不過�����,也有4位受訪者認(rèn)為���,從目前公布的信息來看�,更像是人為的操作問題。 有一位零售業(yè)技術(shù)提供商認(rèn)為�,這次事件的原因可能是程序開發(fā)問題,在開發(fā)時限制條件寫錯了���,或者這個優(yōu)惠券是測試數(shù)據(jù)��,沒有及時刪除����?��!跋到y(tǒng)應(yīng)該會對無門檻券進行設(shè)置�,領(lǐng)券的對象會有針對性的限制條件�,而不是平臺每個賬號都能領(lǐng),這個限制條件應(yīng)該是存在漏洞���?����!?/span> 另一位電商平臺的技術(shù)負(fù)責(zé)人判斷�,現(xiàn)在黑產(chǎn)都是用程序自動監(jiān)控各網(wǎng)站的優(yōu)惠券��,所以優(yōu)惠券放出來后立刻就被發(fā)現(xiàn)了?!拔矣X得不能算程序bug,應(yīng)該是人為操作失誤�����,同時也暴露了拼多多內(nèi)部的流程不完善���,審核有問題����,無門檻券風(fēng)險極大���,很多平臺都需要多級審批。一旦觸發(fā)相關(guān)預(yù)警機制�,系統(tǒng)會自動給幾十個相關(guān)負(fù)責(zé)人發(fā)短信通知?�!?/span> 拼多多的“學(xué)費” 正如上述人士所言��,拼多多除了止損和修復(fù)�,也要借此事重新建設(shè)預(yù)警機制和風(fēng)控系統(tǒng),以及內(nèi)部的相關(guān)工作流程��。有信息顯示,直到今天早上10點左右���,拼多多這一BUG才被修復(fù)��。 幾乎所有的受訪者都判斷拼多多在預(yù)警和風(fēng)控上沒有做到位�?��!盃I銷系統(tǒng)是電商核心系統(tǒng)之一���,各種條件的設(shè)置非常復(fù)雜,有互斥的����、并列的等等。從管理上來講�,技術(shù)肯定要背負(fù)一定責(zé)任。拼多多在補上漏洞后����,應(yīng)該注意后續(xù)的防范措施,這個事件說明它缺少基本的熔斷機制����,沒有預(yù)警���。如果防范意識足夠高,風(fēng)控團隊和系統(tǒng)是可以幫助攔截的�����?���!币晃籗aaS平臺的技術(shù)負(fù)責(zé)人表示。 “這種bug是低級類錯誤����,本身是容易發(fā)現(xiàn)的,在業(yè)內(nèi)比較常見��。如果是實物產(chǎn)品設(shè)置錯價格���,這種責(zé)任人的責(zé)任就較大;如果是技術(shù)漏洞��,那就立即暫停業(yè)務(wù)��,技術(shù)補救�,一般不會有人追責(zé)���。”一位電商平臺的CTO表示��。 在和多位受訪者溝通中�,億邦動力發(fā)現(xiàn),實際上這種案例時常發(fā)生����,只不過多數(shù)公司沒有報道出來。據(jù)一位受訪者透露��,曾有互聯(lián)網(wǎng)金融公司遭遇過類似事件���,損失超過一個億�����,通過及時補救和追回�����,實際損失也只有一千萬�����。 不可置否��,在互聯(lián)網(wǎng)的生存環(huán)境下��,規(guī)模越大��,風(fēng)險就越大����。“越不起眼的地方��,越可能出個大炸彈���,要敬畏每一個細(xì)節(jié)�����。年底逼近��,你放松了,羊毛黨并沒有放松��。所有CTO、COO�,或許都要做個自我檢視,要重視信息安全和風(fēng)險管理����。”一位零售品牌的CTO感嘆道���。 “這種事情就像交學(xué)費�,沒發(fā)生時�����,沒有人會覺得有問題����。對于發(fā)展中的公司來說,損失大過成本了����,公司才會有投入的,由技術(shù)提出加大這方面預(yù)算是很難的���,老板不信���,投資人不信����。這都是發(fā)展的必經(jīng)階段���,沒有一家公司一開始就是完善的�?!币晃粋鹘y(tǒng)電商平臺的相關(guān)技術(shù)負(fù)責(zé)人在最后評價道。
|
