“拼多多”驚爆重大 Bug!程式設計師的眼淚,羊毛黨的狂歡
這次,拼多多真成拼夕夕了……
新年添福旺,拼多多給你“拜年”啦——
今日有訊息爆出,稱從 20 日凌晨開始,拼多多出現重大 Bug,使用者無需搶購即可任意領取 100 元無門檻優惠券(特殊商品除外),有效期一年且全場通用。
專職羊毛黨聞風而至,半夜呼朋引伴薅羊毛,不甚歡騰。更有傳言稱“ 一夜交易額達 338 億元,其中 200 多億都是難於追回的話費充值“,一時間,眾皆感嘆於這場“夜薅 200 億”的羊毛黨狂歡(拼多多官方已闢謠)。
事件曝出後,拼多多方面迴應表示這是技術上的 Bug,且正在緊急修復中。據悉,該 Bug 於上午九時許修復完成,此後使用者無法再通過這一渠道獲取優惠券。但由於領取未用的優惠券也 同時 全部失效,亦引發了不少網友的不滿,欲向拼多多“討要說法”。官方人工客服一度繁忙,排起長隊。
拼多多官方迴應:200 億,扯淡
比薅羊毛更快的是“資損 200 億”謠言的傳播速度。
隨著各路傳言猜測越炒越烈,拼多多官方也於社交平臺釋出宣告,稱此次事件為“黑產通過平臺優惠券漏洞不正當牟利”,且 “平臺 已第一時間修復漏洞”。
但宣告中的“第一時間”也在第一時間遭到眾嘲,一個漏洞從大半夜沸沸揚揚到了上午九點多才被發現,拼多多的風控團隊此番也遭到質疑。
實物砍單、優惠券禁用,除了難辦的話費和 Q 幣等,拼多多正在盡力挽回損失,對於坊間盛傳的“被薅羊毛 200 億”,拼多多發言人表示,“沒想到在系統沒有任何資料安全漏洞的情況下,灰黑產還能利用規則漏洞薅走總價值數千萬的優惠券”,“ 已向警方報案,最終還能追回不少,實際資損大概率低於千萬元 ”。
據傳,這位發言人還於朋友圈調侃吐槽,“真的沒有 200 億,深更半夜的,全國人民全部起來每人薅十塊錢,大家覺得可能麼……就看週一三大運營商會不會漲停了”。
但對於此番迴應,有評論從官方宣告中發現了“關竅”,認為若拼多多此次損失真不足千萬,那大可將此次損失回饋使用者,賺來一次絕佳的“營銷”機會,而不是急於挽回損失。
程式設計師開年第一「 祭 」
別了,我的年終獎……
事發同時,疑似當事程式設計師 於脈脈職言區 留言悼念全部門集體泡湯了的年終獎,引來不少吃瓜群眾的圍觀。
其身份真假尚無從考證,但這場鬧劇背後,註定要有一個乃至一批程式設計師“壯烈”了。
假 Bug 真營銷?
世間最不乏陰謀論,只要結果對某方有利,我們就不會排除其“早有預謀”的可能。因此,不少人在這場“事故”中大膽猜測——這會不會是拼多多策劃的一場興師動眾的大型營銷把戲。
事實上,Bug 營銷並不罕見:
2017 年 5 月,肯德基 App 出現了一個大 Bug,使用者將賬號生日改為“20160828”,即可在 5 分鐘內獲贈一張六人全家桶半價券(有效期至 8 月 31 日)——於是乎,一傳十十傳百,這個 Bug 硬是將肯德基 App 送上了排行榜前 50 名。
再往前看,2013 年 6 月,百度雲支付系統爆出重大支付 Bug,其上所有產品價格降至原價的 1/1000,秉持著“有便宜不佔白不佔”的理念,眾人紛紛下載、註冊、購買一條龍……
所以拼多多此舉是否也在踐行“假 Bug”的營銷手段呢?對此,有評論認為,結合其官方宣告及危機應對措施不難發現,拼多多這次大概是真的踢到鐵板了,這個“啞巴虧”也算是吃定了。
Bug 背後的原因是什麼?
事實上,長期以來,類似事件不止拼多多一家,2018 年 1 月初,騰訊視訊也曾就 0.2 元 VIP 會員支付異常問題發出了宣告,同年還有王者榮耀面板 bug……既然並非偶發事件,那麼這類 Bug 的成因又是什麼?
關於這個問題, CSDN(ID:CSDNnews)特別諮詢了 網易易盾業務安全產品專家劉慶 ,他表示:
拼多多官宣的原因是系統 Bug,也有其他訊息說其實這是一張測試券,只是被髮到了線上。不論事發原因如何,事實確是可以無限領券,這種問題的成因主要有以下個方面:
1. 反作弊檢測手段:事情是後半夜爆發,其實後半夜的風控策略應比其他時間段的要嚴格很多,猜測拼多多在策略區分上沒有做好。事情最開始是在黑灰產圈活躍,黑灰產利用接碼平臺中的手機黑卡都能順利領券,說明拼多多應該沒對異常手機號做檢測;
2. 風控預警能力:後半夜、短時間領券量、領券額、交易量突增爆發,卻幾小時後才感知到,環比、同比類的風控預警在哪?這些反映著拼多多風控預警能力可能存在不足;
3. 風控評審能力:電商類、金融類業務風控評審是非常重要的一環,若風控評審時,增加一些業務規則(設定領券門檻)、制定優惠券超發、商品超售的應急方案,最終損失也不至於這麼大;
4. 滲透測試能力:無限領券是一個大 Bug,和實物超賣一個道理,此類是電商類業務滲透測試最基本的 Case,說明拼多多滲透測試能力也有待加強。
狂風過境,羊毛遍地
公元 2019 年 1 月 20 日,羊毛黨舉家奇襲拼多多,多折兵馬眾,史稱“拼羊毛之亂”……
凌晨三點被收穫搶券”Morning Call“;掐準漏洞狂充話費、Q 幣……在這場打著”法不責眾“旗號的事件中,羊毛黨似乎是最大的贏家。
很多普通使用者表示,直到拼多多一路狂飆衝上熱搜,才知道在自己好夢正酣時唱了這麼一出,戲稱一覺醒來錯過一個億。
作為打法律擦邊球的一把好手,羊毛黨長期遊走在法律邊界,在違法的邊緣“大鵬展翅”,甚至在很大程度上損害了普通消費者的權益。
談及眼下的網際網路黑產現狀, 網易易盾業務安全產品專家劉慶 表示:
黑產一直都在
黑產確實一直都在,並且還越來越活躍,尤其最近幾年越來越多的企業開展“撒錢”拉新、拉流量的活動,著實養肥了不少黑產的腰包。上個月星巴克被擼千萬,活動上線 1 天就被緊急叫停止損。時隔 1 個月的今天,拼多多又被擼千萬。這些被暴露出來的其實只是冰山一角,在整個網際網路行業,大大小小黑產擼羊毛的事件數不勝數。
工欲善其事必先利其器,黑產也同樣如此。並且黑產行業分工越來越精細、作業鏈也越來越完善,使得他們的技術手段也越來越先進。
主要的手段有:
1. 手機黑卡
薅羊毛首先得有個賬號,目前網際網路行業的賬號體系基本要繫結手機號,這是一個最基本的業務活動門檻。
但對於黑灰產而言,這完全不是門檻,因為他們有達千萬級別的手機黑卡庫。普通的羊毛黨或黑灰產人員,在一種叫做“收碼平臺”的系統上,便可以很低的成本價獲取一個已實名認證的手機號和相應的業務簡訊。有了手機號和簡訊,即可完成業務活動。
2. 代理 IP
每個使用者上網,都需要一個公網 IP。而若使用一個 IP 頻繁的參與營銷活動非常容易被發現,且容易被封禁。所以,黑產有各種層出不窮的代理 IP 軟體和代理 IP 庫,能實現秒撥,一刷一 IP。
3. 改機工具
改機工具是一種可以安裝在移動裝置上的 APP,能夠修改包括手機型號、串碼、IMEI、GPS 定位、MAC 地址、無線名稱、手機號等在內的裝置資訊,通過不斷變更設資訊,偽造裝置指紋,達成欺騙廠商裝置檢測的目的。改機工具可使一部手機虛擬裂變為多部手機,極大地降低了黑產在移動端裝置上的成本。
4. 群控平臺
黑灰產早已不是“單槍匹馬”,而是使用群控平臺,通過一臺電腦,控制成千上百臺裝置(手機或模擬器等),只需下發一道命令,背後的裝置即可同時完成操作。
關於防控
對於如何防止黑產薅羊毛,建議各家電商巨頭在反作弊、反欺詐上採取以下措施:
-
構建手機畫像:基於黑產資料、業務資料建立手機畫像,比如,手機號是不是在黑產收碼平臺的手機庫中,是不是經常做一些風控異常的操作。
-
構建IP畫像:基於IP所做過的業務操作、IP層的網路屬性(是不是代理等)等,構建IP畫像庫。
-
裝置指紋:客戶端部署SDK來採集使用者裝置的資料,比如:裝置型號、MAC、系統版本等,用於裝置模型分析和輸出唯一裝置ID。裝置指紋的對抗成本非常高,需要專業的技術對抗。
-
團伙分析:可以基於IP、裝置指紋、使用者的網路環境,以及業務屬性,構建關聯分析和團伙分析模型。
-
構建全鏈路風控體系:在重要業務鏈路上佈防風控檢測,多業務關聯分析、聯防聯控。以一個立體化的風控防禦體系應對黑灰產相對單一來源的攻擊。必要時刻,也可以尋求第三方專業的業務風控安全廠商幫助。
最後,對於這場一地“羊毛”的黑產狂歡,你怎麼看?
【完】
熱 文推 薦
print_r('點個好看吧!');
var_dump('點個好看吧!');
NSLog(@"點個好看吧!");
System.out.println("點個好看吧!");
console.log("點個好看吧!");
print("點個好看吧!");
printf("點個好看吧!");
cout << "點個好看吧!" << endl;
Console.WriteLine("點個好看吧!");
fmt.Println("點個好看吧!");
Response.Write("點個好看吧!");
alert("點個好看吧!")
echo "點個好看吧!"
點選“閱讀原文”,開啟 CSDN App 閱讀更貼心!
喜歡就點選“好看”吧