由于技术窃取的便利性和可及性,旁观者很容易理解他人,宽容自己。
全文6870字,读完大概需要13.5分钟
一个过期的优惠券漏洞,可能导致中国最大的黑灰产事件。
1月20日凌晨,有网友称拼多多出现重大Bug。“100元话费充值只需要40美分。”“大量用户启动薅羊毛,一夜充值200多亿。”根据网友截图,这张拼多多100元无门槛券是通用的(特殊商品除外),有效期一年。
拼多多表示,当天凌晨,一个黑灰产团伙通过一个过期的优惠券漏洞,盗取了上千万的平台优惠券,并不当得利。
针对这一事件,拼多多表示,目前上海警方已经立案,并以“网络诈骗”罪名成立专案组,根据“财产保全”的相关规定,对涉案订单进行了批量冻结。拼多多平台正在配合警方追查相关订单来源,最终根据警方调查结果依法依规处理相关订单。
对于亏损高达200亿元的说法,拼多多回应称,这一数字并不属实。据说拼多多有大量优惠券被黑灰团伙盗走,涉案金额数千万元。预计此次事件造成的最终实际经济损失不到数千万元。
━━━━
一个Bug引起的薅羊毛事件?
▲图/视觉中国
1月20日上午9点05分,小南在她的“闺蜜群”里收到一个链接,闺蜜们告诉她,只要点击这个链接,就可以获得拼多多的100元优惠券。
“我以为是一般的促销或者新的促销,就下载了拼多多App,选了一下,点了一个一直想买的智能音响。”小南告诉新京报记者,她收到的优惠券是“无门槛,有效期一年”。
“我室友在她朋友群里看到这个链接,然后转发给我们闺蜜群。后来看到网上热搜,才知道自己的行为可能涉及薅羊毛。”小南说,“1月20日上午10点20分,我用优惠券购买的商品联系了顺丰,甚至告诉了我快递单号,但截至目前,商品仍处于‘商家正在通知快递公司取件’的状态。”
品多多在最新通报中称,黑灰团伙通过“优惠券漏洞”盗取的优惠券,是品多多之前与江苏卫视《非诚勿扰》合作时,为节目录制专门生成的优惠券类型,仅供现场嘉宾使用。
而黑灰团伙则是用非正常渠道生成的二维码扫码后获得相关优惠券,二维码多在社交平台相关的黑灰群中流通。通过这个二维码,每条认证信息的原用户只能无门槛领取一张100元优惠券,而不是之前网络流传的单个ID,可以“无限领取”。
于是,黑灰产团伙通过“守猫池”(利用手机卡存储大量虚拟账号)等非法手段,实现N张手机黑卡同时操作,批量盗取此类优惠券,并试图通过手机话费、q币等虚拟充值方式,在短时间内快速转移此类不当所得,涉案优惠券总金额达数千万元。
品多多风控团队负责人表示,黑灰团伙盗取巨额优惠券,转移不当所得后,希望达到“法不责众”的效果,通过网络、社交群快速分享二维码,诱导部分普通消费者跟风扫码。
拼多多强调,该类优惠券从未在任何时候、以任何方式出现在平台正常的线上推广活动中,甚至从未有过任何线上入口,拼多多也从未为该类优惠券生成任何二维码。但二维码的具体生成和传播过程仍需警方调查,才能公布最终结论。
值得注意的是,职业羊毛党注重话费和q币的自动发放,所以很快兑现了优惠券。对于拼多多来说,能否向三大运营商和腾讯追回这笔损失值得怀疑。目前拼多多尚未透露是否有具体的挽回损失的计划。
━━━━
退券合理吗?
bug被用户“薅羊毛”的现象在国内互联网行业经常发生。
2018年元旦期间,腾讯视频推出优惠充值活动。但由于活动服务器后台数据异常,部分用户充值一个月时应支付优惠价,实际只扣了0.2元。当时这个漏洞吸引了39万用户参与。
后来腾讯宣布是公司工作失误,公司将这些异常订单全部兑现,不再扣费。最终,腾讯为这个Bug付出了5000多万元,但同时也赢得了网友的好评。
但拼多多并没有“顺应民意”,并为此买单。发现漏洞后,拼多多于当天9点左右紧急下架所有优惠券,并注销用户已领取但未使用的优惠券。记者注意到,拼多多当时也对App进行了优化更新。为了补偿用户,拼多多向受影响用户发放5元无门槛券,有效期50年。
拼多多表示,此次事件与其他公司因bug导致的一系列资产损失事件有本质区别,此次是一起“套利诈骗”的网络诈骗案。“如果把前者比作网络中的‘ATM机错放钱’现象,后者就相当于不法团伙撬开ATM机后进行盗窃。”
电子商务研究中心主任曹磊认为,从法律责任认定和用户权益保护的角度来看,如果是平台发起的活动,那么就应该按照官方的指示来履行承诺,相当于在线上与用户签订了协议,平台当然要执行。“但拼多多的相关声明已经显示,优惠券是通过过期优惠券漏洞被盗的。根据《合同法》相关规定,拼多多不需要承担取消或撤回优惠券的法律责任。”
他说,如果拼多多的优惠券漏洞是黑羊毛党的恶意行为,这种交易属于“有重大误解”的合同,(拼多多)可以要求撤销。”
北京市康达律师事务所律师晓寒也认为,拼多多撤回已领取但尚未使用的优惠券,与新颁布的电子商务法并不冲突。此次事件中,拼多多回应收回已领取但未使用的优惠券,属于合理的补救措施。
另据记者了解,当天11点左右,拼多多的工作人员已经向部分商家发出通知,所有使用过100元无门槛券的订单一律不允许发货。
根据《电子商务法》第四十九条规定,电子商务经营者发布的商品或者服务信息符合要约条件,用户选择该商品或者服务并提交订单成功,合同成立。除当事人另有约定外,从其约定。电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立。条款和条件含有上述内容的,其内容无效。
曹磊表示,拼多多的这种做法与电子商务法并不冲突。“恶意利用系统漏洞获得的优惠券,在支付中不能有效抵消相应的支付义务,应当认定为未完成的支付义务,不受《电子商务法》第四十九条第二款的约束,商家可以不发货。”
中国政法大学知识产权中心特约研究员赵占领告诉记者,如果用户已经使用优惠券在拼多多购买了第三方商家的商品,则用户与商家之间的合同已经成立,拼多多可以追究用户的责任,但不能阻止商家发货。
━━━━
为什么会发生“薅羊毛”事件?
在风控问题上,拼多多表示,公司一直在搭建风控体系,本次事件不涉及任何数据安全问题,平台消费者正常领取的优惠券使用不会受到影响。为了进一步加强“专券”相关的风控体系,拼多多透露,公司已经成立了技术团队。
对于拼多多“被薅羊毛攻击”一事,某反欺诈安全团队专家陈峰(化名)表示,防止平台被恶意“薅羊毛”的手段有很多,包括限制优惠券的总数和优惠券的应用场景等。“比如设置最高10万的优惠券,只能用于200元内的实物订单,配合最基本的反薅羊毛策略,不会有大问题”。
至于为什么风控系统没有检测到异常情况,拼多多回应称,事件发生在平台促销的时候,期间大量消费了平台正常发放的优惠券。直到当天上午9点,被盗优惠券与正常优惠券之和突破平台预设阈值,系统监测到异常并自动报警后,拼多多第一时间修复了相关漏洞。
据网友截图显示,此次事件中拼多多的优惠券属于“无门槛通用”,有网友截图充值话费、购买q币,部分高达5万元。“在这次事件中,拼多多的经营规则出现了问题,最基本的反薅羊毛措施都没有设置。”陈峰说。
在陈峰看来,职业“羊毛党”目前确实存在。针对不同的平台,这些羊毛党都有注册账号(涉及手机号、代码接入平台等。)、下游支付渠道、清洗和转移渠道等。,以及他们消息灵通与否,设备的专业性决定了这些羊毛党的收入。
━━━━
羊毛党的行为是否涉嫌犯罪?
事实上,拼多多服务协议7.1已经明确,用户利用拼多多平台的插件和/或拼多多平台的bug获取不正当利益。
晓寒表示,用户利用系统漏洞从平台获取大量优惠券并从中获利,可能涉嫌盗窃。如果获利数额达到相关标准,他们可能要承担刑事责任。但他强调,如果平台的普通客户并没有通过这个安全漏洞有意识地收取大量优惠券进行牟利,而只是收取了少量的优惠券,没有盗窃的主观故意,客观获利也没有达到量刑标准,则不构成盗窃罪。
陈峰说,很难判断薅羊毛的黑产是否涉嫌违法犯罪。“一般来说,公司是要先报案的,但在之前的实际案件中,最多可能是协商,协商不成按诈骗处理,但最终是违法还是犯罪,还是要看公安机关的性质。”
拼多多在最新公告中表示,平台主观上不会进一步追究被困普通消费者的责任,但不支持此类不正常行为。
电子商务研究中心特约研究员、北京盈科(杭州)律师事务所律师方超强认为,黑灰产其实是一个网络名词,没有明确的概念和外延。从拼多多事件来看,所谓的“黑灰产队”有几个事实应该明确:1。它应该主动寻找系统漏洞,而不是破坏和篡改系统;2.主观上知道是漏洞;3.客观上钻空子谋利;4.优惠券应该是有价值的财产。从犯罪构成要件来看,我认为涉嫌盗窃罪。
中国政法大学传播法研究中心副主任朱伟表示,当平台出现优惠券Bug,且原因不明时,分两种情况:一是出现涉及破坏计算机系统的Bug,属于刑法中破坏计算机信息系统罪,情节特别严重,有5年以上刑期。第二,如果不涉及系统破坏,只是钻了空子。这种情况严重的话,实践中涉及到盗窃和侵犯知识产权。不严重的话,获得的优惠券属于不当得利,应该返还。
在此次拼多多事件中,黑灰产团队在刷足优惠券获利后,出于“法不责众”的心理,将优惠券链接公布于众。朱伟认为,发布相关信息的人除了自己的刷量外,可能涉及之前犯罪的共犯,也可能单独构成传授犯罪方法罪,也可能构成扰乱市场秩序的行政处罚。
在朱看来,刷量小的人一般不构成犯罪,但其“所得为不当得利,应及时返还”。如果在事实公布后再刷,就构成盗窃罪。
曹磊表示,严格来说,黑灰产的认定应该由相应的监管部门或者公安网监来进行。当然,如果平台能提供充分有效的证据和材料,也会帮助监管、司法、公安等部门进行认定。
━━━━
对拼多多有什么影响?
随着社交电商的新玩法,成立仅三年的拼多多已经成为国内最成功的独角兽企业之一。摩根士丹利近日发布研究报告,首次将拼多多纳入研究范围,给予“增持”评级,并将目标股价定为29美元。
拼多多财报显示,去年第三季度,拼多多实现营收33.72亿元,同比增长697%,环比增长24%。去年前三季度共实现营收74.66亿元,同比增长约12倍。但不容乐观的是,拼多多的净亏损进一步扩大,去年第三季度亏损10.98亿元,远高于上年同期的2.21亿元。去年前三季度亏损总额为77.93亿元,上年同期为5.39亿元。
拼多多还在投入大量资金推动创新,通过综艺节目命名持续刺激用户增长率和活跃度。财报显示,去年第三季度,拼多多的销售及营销费用达32.3亿元,同比增长655%,主要是品牌推广活动以及线上线下及推广活动的增加。
拼多多砸营销费用的另一个重要原因是获客成本在上升。2017年第三季度,拼多多单个新用户获客成本为13元,但去年上半年已飙升至55元。
值得一提的是,尽管拼多多去年第三季度投入的R&D费用同比增长828%,但其R&D费用仅为销售和营销费用的1/10。
记者注意到,拼多多1月20日下午在招聘平台上发布了多个与风控相关的职位,包括风控总监、风控策略/模型专家等。
此次事件后,拼多多的R&D费用可能会保持较高的增长率。
━━━━
薅羊毛黑色产品已经形成了高度差异化的产业链
陈峰告诉记者,“薅羊毛”行为是指新兴消费群体从网贷平台、电子商城、银行、实体店等渠道收集优惠促销、免费服务等信息,注册大量“小号”模拟大量正常用户参与活动,以相对较低甚至零成本换取物质利益。这个团体叫“羊毛党”。
━━━━
不仅是薅羊毛,还有赞,成为水军
新京报记者采访多位专家了解到,目前薅羊毛黑产已有高度分化的产业链,主要包括:上游软件开发商、脚本开发商、代码接入平台等可以批量注册账号的工具;中游黑产团队通过购买大量的手机SIM卡,通过猫池等这些软件工具和硬件设备,将自己模拟成大量的普通用户,恶意注册各种平台的账号并加注账号,在“薅羊毛”的机会出现时利用大量账号赚取收入;下游有支付和清洗转账通道,可以在券等平台快速转账。
一位熟悉网络黑产的人士告诉记者,在薅羊毛从事黑产所必须的“硬件”包括手机SIM卡、猫池等。软件包括代码接收平台和动态IP技术等。“比如为了限制薅羊毛的行为,很多平台会记录注册用户的IP。这时候上游提供技术支持的黑产可以通过动态IP技术形成一个比较大的动态IP池,然后租给下游薅羊毛的黑产团队。”
在他看来,有了上游的软硬件设备,薅羊毛黑产有条件大批量注册平台账号,领取优惠券。在刷优惠券的时候,也需要一个可以快速变现的渠道。“在此次拼多多事件中,大量黑产选择将优惠券变成q币、手机话费等。由系统自动交付。目前有可以合理变现q币和手机话费的灰色生产平台,在一些购物网站上也可以买卖优惠券,这些都是羊毛党的变现渠道。”
“羊毛党的‘薅羊毛’本质就是可以模仿大量用户,让发券的企业无法识别。但总的来说,拥有大量账号的黑产团队能做的不仅仅是薅羊毛,大量账号可以用来刷赞,当水军等等”,该人士说。
━━━━
打击薅羊毛黑产要从源头抓起
采访中,多位专家对新京报记者表示,薅羊毛打击黑产最有效的方法是直接打掉其产业链上游的恶意注册工具提供商。
新京报记者了解到,辽宁省公安厅已对上游工具软件恶意注册展开名为“610”的专项打击。一位曾经参与此案的网络安全专家表示,在项目中,其锁定了几款头部恶意注册工具,其中一款名为XXTouch的按钮向导软件,可以模拟人操作手机的行为,具有轻松实现改号工具的功能,包括伪装手机信息和GPS信息的功能。“总之,在不考虑效果的情况下,XXTouch软件已经为恶意注册提供了除IP变更之外的各方面技术。在其看似中立的伪装下,实际上为黑产恶意注册提供了全套武器。”
这位专家表示,打击恶意注册最好的办法就是切断恶意注册黑色生产链的上游,从生态上挤压恶意注册的生存空。这包括通过伪造设备硬件信息的改机工具,没有改机工具,恶意注册不可实施;以及群控和按键向导软件辅助自动化操作,没有自动化,恶意注册无法摆脱高人力成本。
但同时他认为由于黑产圈恶意注册软件的流行,开恶意注册工作室的门槛极低。一次集群行动可以摧毁一个地区的一群帮派,但很有可能其他地区会涌现出新的帮派。
新京报记者卢一夫罗一丹编辑李校对
━━━━
黑薅羊毛是一种犯罪
你必须支付你必须支付的。一大早,前天在拼多多薅羊毛参加狂欢的部分用户发现,部分订单被拼多多平台强行取消,部分充值话费的网友发现,自己的话费被运营商强行退回。但我没想到的是,现在薅羊毛可以理直气壮地站在道德制高点上。有用户在接受采访时义愤填膺,认为自己只是拿到了一张优惠券,平台不应该强行注销。很多人认定平台的过错不应该让用户承担损失。
尊重他人的财产权是基本社会规则的一部分,薅羊毛和互联网黑产在大多数情况下所做的是数据时代的欺诈和盗窃。
在拼多多提供的详细声明中,我们可以清楚地看到羊毛党是如何侵占企业利益的。声明称,羊毛党使用的优惠券是拼多多与某电视节目合作中产生的临时优惠券,从未在任何推广活动中公开亮相,也未打开入口。但黑产团队通过非正常渠道发现了漏洞,并生成了二维码,在公共领域传播。
这已经是明显的技术犯罪,与传统的“薅羊毛”完全不同。通俗地说,这就相当于一个专业团队发现了别人门锁的漏洞,突破门锁进行盗窃,为了逃避责任,干脆把门打开,让大家进来,把东西搬回家,制造一种“公开发券”的假象,逃避盗窃责任。
所以用户抱怨平台不应该收回优惠券是完全没有道理的。无论是别人家什么时候开门,或者是一辆卡车在高速公路上翻车,用户都没有理由拿走原本属于平台的东西。这是对他人财产权的基本尊重,失主应该能够采取各种措施追回丢失的资产。
对于拼多多这样的新晋电商巨头来说,此次攻击暴露了其风控体系的根本漏洞。但是,更值得反思的是。为什么一个性质严重的盗窃公司财务的案件,在舆论上陷入了一场无辜的狂欢?
由于技术窃取的便利性和可及性,旁观者很容易理解他人,宽容自己。
当“羊毛党”这个词第一次见诸报端的时候,它确实享有了一段时间的道德豁免特权。当时的互联网公司因为风控体系和制度设计问题,往往会有一些折扣漏洞可以被用户利用。然后,羊毛党也在很多人心中产生了“个人通过精明的算计与商业巨头讨价还价”的错觉。但随着技术和风控手段的升级,普通人意义上的“薅羊毛”空室几乎不存在了。羊毛党已经成为一个职业犯罪团伙。他们拥有大量的手机黑卡,并利用互联网公司的技术漏洞疯狂获利。事实上,有许多羊毛团伙,他们是利用技术漏洞进行高科技犯罪的专业团伙,在诈骗和盗窃的边缘徘徊。有专业机构做过统计。国内网络黑产上下游从业人员超过160万人,年产值超过1000亿元。从传统银行、保险公司到电商平台,都成为了他们攻击的目标。
这是对商业环境和共识的公然违背。公众要认识到,黑产队不是一个粗心的英雄,也不是一个草根代表。它们不仅侵害了企业的利益,也剥夺了用户的红利,最终破坏了企业与用户之间的信任纽带。打击黑产和羊毛党,应该也是大数据时代最重要的共识。文/胡汉(媒体人)
值班编辑吴彦祖华牧南[/s2/]
