话费可以充值q币吗电信(“漏洞”8小时被薅“羊毛”千万拼多多拒绝为“羊毛党”买单)

张雪

2022-04-20 21:27:02

《漏洞》8小时被“羊毛”千万元

拼多多拒绝为“羊毛党”买单。风控四大问题亟待解决。

IT记者张维为展示东方IC

话费可以充值q币吗

羊毛党最近把目光投向了拼多多。

1月20日上午9点，拼多多上演了一场“薅羊毛”的狂欢:一张无门槛的100元券被免费领取使用，直到官方紧急下架该券，但预计损失已达千万元。

随后，拼多多发表声明，称“黑灰产通过平台优惠券漏洞进行不当获利”。目前品多多已报警，警方介入调查。据《IT时报》记者了解，拼多多大部分使用优惠券充值话费和购买q币的用户账户已被冻结，当地电信运营商也会配合警方调查，但拼多多能否顺利挽回损失？没那么快。

8小时损失1000万

据了解，这张被公开盗刷的拼多多100元无门槛券是一张特殊券。根据拼多多官方的说明，是和非诚勿扰合作时为现场嘉宾生成的优惠券，仅供现场嘉宾使用。“这个活动去年就结束了。”品多多内部消息人士透露，该券从未在任何时间、任何方式出现在平台正常的线上促销活动中，甚至从未有过任何线上入口。

然而，1月20日凌晨1点，这种100元无门槛券悄然上线，很快话费充值、q币兑换成为热门产品。按照拼多多的公开说法，每个认证信息的用户只能无门槛领取一张100元优惠券，但黑灰团伙利用自己的“猫池”(大量虚拟账号存放手机卡)控制N张手机黑卡同时工作，批量盗取这张优惠券，并试图通过手机话费、q币等虚拟充值方式在短时间内快速转移收入。

与此同时，20日凌晨5点，可领取此券的二维码开始出现在多个社区论坛，吸引了大量普通用户。拼多多风控团队负责人表示，黑灰产团队盗取巨额优惠券并转移后，迅速通过网络和社交群分享二维码，达到“法不责众”的效果。在接受《IT时报》记者采访时，很多通过扫描二维码获得优惠券的用户，基本都是以现金+优惠券的形式充值话费或者购买q币，只有少数用户购买的是实物。“拿到优惠券后，他们加了88元买了200 Q币，47+券和150 Q币，用100+券充值了移动200元话费”...

上午9点，当被盗优惠券和正常优惠券之和突破平台预设阈值，系统监测到异常情况并自动报警时，拼多多官方发现了漏洞并紧急修复。此时距离优惠券上线已经过去了九个小时，拼多多预计涉及的优惠券总金额将达到数千万元。

q币充值被冻结。手机充值还有待解决。

截至记者发稿时，上海警方已以“网络诈骗”的罪名对该事件立案并成立专案组，并根据“财产保全”的相关规定，分批冻结涉案订单。其中，平台的实物订单已被冻结，卖家已全部停止发货。同时，据记者了解，不少电信运营商也接到了公安配合调查的调查令，将冻结或追回使用优惠券充值的钱款，但追回的技术难度不小。

据悉，广东移动一用户用拼多多优惠券充值200元话费，第二天收到短信提示，成功取消充值。但这一消息并未得到证实。

《IT时报》记者从上海一家运营商处了解到，他们确实收到了公安部门的调查令，但要立即撤销或取消用户完成的充值，不会这么快。“拼多多的充值商家几乎都是各种运营商的代理商，用户不直接和运营商开通充值入口，需要溯源，流程复杂。”这位运营商表示，大额退款操作有非常严格的操作规则，必须先经过当地运营商的集团公司批准，所以第二天取消的可能性不大。

拼多多表示，黑灰产业链就是利用“猫池”批量盗取优惠券。所谓养猫池，是指在同一台机器上插入N张手机卡后，统一刷验证码，一般用物联网卡来逃避实名登记系统的追查。不过，在上述电信运营商看来，“实名登记制”并不是关键。目前运营商也在加大物联网卡实名登记制度的实施力度。一旦拼多多通过监控优惠券流向锁定号码，运营商就有能力追溯到具体的号码和注册用户。“关键要看拼多多能否锁定具体号码，以及实名登记系统中的登记人和实际使用人是否为同一人。”

但是，对于如何解决使用了大量优惠券的真实消费用户的充值问题，目前电信运营商并没有给出明确的方案。

大量使用优惠券购买q币的用户反映，目前q币账户已被冻结，但也有人受到“无辜”的牵连。一位用户告诉记者，他用优惠券买了200个q币，但是账户里原来的800个q币也被冻结了。“不仅是拼多多的优惠券，还有我自己掏钱买的。如果是简单粗暴的追回，我的损失谁来赔偿？”对此，QQ并未做出官方回应。拼多多表示，这次冻结是基于警方调查的需要，调查结束后会给用户一个明确的说法。

此前，东航订票系统、腾讯充值系统等多个电商平台都因系统错误导致低价商品上线，并因此“断单”。新颁布的《电子商务法》也规定，第四十九条规定，电子商务经营者发布的商品或者服务的信息符合要约条件，用户选择该商品或者服务并提交订单成功，合同成立。要求电子商务经营者不得以格式条款等方式为自己的违约行为找借口，随意“盖章”。拼多多大额券交易指令的强制撤销和撤回是否属于该规定的范围？

据上海大邦律师事务所高级合伙人尤律师介绍，此次拼多多在优惠券被盗后强行冻结或者撤销消费者购物订单的行为，符合《合同法》第五十四条的规定:因重大误解订立的合同，当事人一方有权请求人民法院变更或者撤销；一方以欺诈、胁迫的手段或者乘人之危，在违背真实意思的情况下订立的合同，受害方有权请求人民法院或者仲裁机构予以变更或者撤销。“《合同法》和《电子商务法》并不矛盾，起着互补的作用。然而，由法院执行所有冻结和撤销更为合适。”你听云说。

关于拼多多风险控制的四个问题

虽然事件起因是黑灰公司利用拼多多平台的漏洞盗取了价值等于现金的优惠券，但作为平台方，从漏洞被利用到修复漏洞甚至造成重大损失，用了9个小时，这反映了平台在风险控制上的不足。

一位风控人士告诉记者，在大电商平台的风控体系中，对无门槛券的管理一直非常重视。无门槛优惠券相当于现金，因此上线前后会有一系列配套的防刷、防盗措施，“包括单人领取优惠券的金额上限、消费的优惠券类别(如是否允许消费虚拟物品)等。”虽然拼多多券的推出是被动的，但是相应的风控体系还是需要提前完善。

此外，优惠券上线后，平台风控系统也要及时采取监控措施，包括监控发放优惠券的流量和流向，设置完善的报警阈值、失效机制和熔断机制。“当大量优惠券流向q币进行充值和通信充值时，这些产品的GMV一定会呈现一环扣一环的异常。如果马上制止，可能就不会有凌晨5点的抢券潮了。”

在该人士看来，拼多多事件反映出其风控体系至少存在四大问题:第一，拼多多的后台是否对黑客的账单做了基本设置？为什么大量黑客能够通过“猫池+脚本API”批量自动操作，以至于发生巨额损失？2.拼多多的风控体系中，是否有对单人领取金额上限、优惠券金额上限、消费区域(如虚拟物品消费)的限制？为什么有大量黑客可以通过手机充值购买q币套现？3.平台发放的优惠券的流量和流向在拼多多的风控系统中有监控吗？为什么事发几小时后平台系统才反应过来？4.为什么整个平台没有及时响应？当大量优惠券流向q币充值和通信充值时，这些产品的GMV肯定会呈现出异常的环比。为什么拼多多一次次错失控制局面的最佳时机，以至于事件发展到难以收场的地步？