作為體量僅次于阿里及京東的國內第三大電商巨頭,美股上市公司拼多多理應具備相應成熟的安全預案,而本次優惠券BUG事件則至少反映出該平臺仍存在風控短板。眼下系統雖已修復,但與之相關的多個問題仍懸而未解。
文丨《中國企業家》記者 崔鵬
編輯 | 齊介侖
頭圖來源 | 視覺中國
疑似黑產軍團已殺向拼多多。
1月20日上午,大量網友在社交平臺發布消息稱,從當日凌晨開始,拼多多平臺上出現重大BUG,用戶可以直接領取100元無門檻優惠券。這一BUG被“羊毛黨”發現后迅速在網絡傳播,直至當日上午10點左右,系統才被官方修復,相關優惠券被全部下架。
一時間,各種傳言開始在網絡上散布,比如拼多多一夜損失200億元,用戶“薅羊毛”充話費或Q幣被拼多多客服威脅起訴等,后來都被證實為謠言。
拼多多官方表示,有黑灰產團伙通過一個過期的優惠券漏洞,盜取數千萬元平臺優惠券,進行不正當牟利,平臺已第一時間修復漏洞,并對涉事訂單進行溯源追蹤,同時已向公安機關報案。
官方聲明無法阻擋網友議論的熱情,當日拼多多相關話題多次登上新浪微博和百度的熱搜榜。不斷有網友在社交平臺上曬出成千上萬元的話費和Q幣充值記錄,部分用戶為應對潛在的拼多多追責風險,聲稱已將Q幣消費,轉換為游戲道具交易出手。
在這場“羊毛黨”和疑似黑產勢力的狂歡中,有很多令人好奇的地方。包括漏洞到底何時被發現,中間漫長的業務鏈條中哪個環節出了問題,拼多多又做了怎樣的處理,受影響的商戶有多少等等。
對于上述問題,截至本文發稿,仍無明確說法。拼多多在回復《中國企業家》記者問詢時回應稱,警方調查期間,暫時不方便披露案件相關細節,后續有最新進展會第一時間跟大家同步。
有別于以往的三大特點
從目前公開信息看,本次拼多多優惠券有幾個問題較為特殊。
首先,卡券的領取數量沒有上限。
無門檻優惠券,與常見的“滿減”優惠券不同。后者能借助少量補貼拉動大量用戶消費,有助于電商平臺完成GMV等主要經營數據;而前者不需要用戶進行任何額外消費,幾乎等同于給用戶“送錢”。
所以通常全場通用的無門檻優惠券都會進行領取限制,比如針對同一賬號、手機號和設備ID等進行購買數量限制。在現有的拼多多其他優惠券中,也標注著“如有發現惡意刷券等違規行為,平臺有權在法律范圍內進行相應處理”等字樣。
但拼多多似乎并未設置本次優惠券的領取上限,加上該優惠券不是傳統的“搶購”設置,而是隨意領取,這也直接導致拼多多官方口徑中的“數千萬元”資損產生。
其次,無門檻優惠券能兌換虛擬商品。
電商平臺從業者劉昕(化名)告訴《中國企業家》,一般來說,無門檻優惠券不能兌換虛擬產品(包括話費、Q幣、游戲點卡等)以及金銀等貴金屬投資品。從各大平臺實際情況看,全場通用的優惠券通常會標注“虛擬商品除外”字樣。
虛擬商品交易是網絡黑產的慣用洗錢手法,所以被各大電商平臺所重視,在優惠券使用范圍上進行嚴格限制。同時,禁止兌換虛擬商品,也便于追蹤黑產身份,畢竟實物商品需要郵寄地址。
本次事件里,拼多多優惠券卻可以無障礙兌換前述虛擬商品。在采訪過程中,諸多從業者對此表示驚訝。
最后,無門檻優惠券金額為何如此大。
與普通滿減優惠券不同,無門檻優惠券的金額通常都不大,尤其是能兌換虛擬商品的優惠券,額度在個位數的較多。在京東和淘寶等平臺,話費優惠券一般不超過5元。
而本次拼多多的優惠券面額為100元,這類大額無門檻優惠券并不屬于常見類型。尤其是考慮到其不設上限的領取數量,它在設計、測試、上線、風控等多個流程中,應該都有嚴格的安全保護措施,以及錯誤預警和處理方案。
對于拼多多這樣一家體量僅次于阿里和京東的電商巨頭來說,這次優惠券事件對它的技術和安全口碑無疑會產生影響。
“薅了羊毛”的用戶怎么辦
另外一個被廣泛關心的問題是,那些“薅羊毛”的普通用戶,拼多多該如何處理。目前平臺方未就此作進一步說明。
與涉嫌違法犯罪的網絡黑產不同,“薅羊毛”行為在互聯網用戶間較為常見。此前其他公司也遇到過類似漏洞,一般在確認系平臺工作失誤并且損失不大的情況下,會選擇自我承擔損失。
#p#分頁標題#e#2017年12月31日,騰訊視頻曾被曝出系統BUG,用戶僅需支付0.2元就能獲得價值20元的視頻會員,并且同一賬戶可以多次購買。該漏洞出現后半小時,騰訊便發現并將其關閉,但即便如此,仍有39萬名用戶參與,生成訂單287萬筆,簡單計算可知騰訊視頻因此損失超過5600萬元會員費。
2018年1月5日,在最終調查結束后,騰訊視頻宣布該問題由其工作失誤所致,用戶購買的異常訂單,騰訊將全部兌現,并不再扣費。
不過,自2019年1月1日起正式施行的《電子商務法》第四十九條有如下規定:
電子商務經營者發布的商品或者服務信息符合要約條件的,用戶選擇該商品或者服務并提交訂單成功,合同成立。當事人另有約定的,從其約定。
電子商務經營者不得以格式條款等方式約定消費者支付價款后合同不成立;格式條款等含有該內容的,其內容無效。
查閱拼多多《拼多多服務協議》可知,在“用戶守則”之下,包含有“禁止使用拼多多平臺外掛和/或利用拼多多平臺當中的BUG來獲得不正當的利益”的約定內容。
上海大邦律師事務所高級合伙人游云庭告訴《中國企業家》,從目前披露的信息來看,這是一起民事案件,而不是刑事案件,它屬于平臺自己產品設計的問題,而不是黑客攻擊導致,如果拼多多需要維權,這次事件法律上可能構成“重大誤解”。
根據《民法通則》,重大誤解,指的是一方當事人因自己的過錯導致對合同的內容等發生誤解而訂立了合同。重大誤解行為,在法律上屬于可撤銷行為,但一般行使撤銷權需要通過法院進行。
實際上,法院為了保護交易安全,在“重大誤解”的案件判決上非常謹慎,如果只是一兩百元的小額事件不會輕易判決。
游云庭認為,如果用戶沒有使用優惠券,拼多多禁止其使用并無問題,但如果用戶已經將優惠券消費掉,拼多多、中國移動、騰訊等公司不應該在法院沒有判決前直接凍結相關交易。
網絡黑產陰魂不散?
事件遠未終結。
作為一家美股上市公司,拼多多需要在本季度財報中披露這次漏洞事件所帶來的實際損失數據。優惠券如果用于平臺自營商品,需要在財報中計算為銷售成本,優惠券用戶第三方商戶,則計算為營銷成本。
財報顯示,2018年第三季度,拼多多營收為33.72億元,歸屬于普通股股東的凈虧損為10.98億元。從這個數據來看,若本次事件中最終損失數千萬元,對拼多多來說影響不小。
與此前騰訊視頻和東航等公司的BUG事件不同,本次拼多多對外表示有網絡黑產勢力牽扯進入。
利用公司業務漏洞而進行違規操作,在網絡黑產行為中所占的比例并不小。
騰訊安全向《中國企業家》出示的數據顯示,截至2018年年底,騰訊綜合安全服務平臺受理的用戶有效舉報超過1247萬次,受理舉報打擊最多的類型為詐騙,其次是黃賭毒,第三就是違規使用騰訊業務,占比為8%,按數字計算接近百萬級。
對于P2P和電商等行業而言,與網絡黑產的斗爭是一項長期而復雜的工程,各家公司尤其是巨頭都非常重視,有一套相對完整的應對流程,拼多多也理應有充足準備。
