拼多多“被薅羊毛”损失200亿?背后的黑灰产业
神州明达专注信息安全领域13年,上万家政府单位 军工单位 企业 家庭的的共同选择,为国内及全球客户提供反窃听反偷拍服务和产品,如果您担心您的信息已经被窃听,并想解决安全隐患,请联系我们,寻求帮助。我们专业的反窃听团队将为您提供一系列个性化定制服务,随时回复您的任何要求。
平静的周末被一则消息在网上掀起了“千层浪”:从1月20日凌晨起,拼多多出现一个超级大Bug,用户可领取100元无门槛券。有专职“羊毛党”发现了这个大Bug,半夜打电话喊人薅羊毛,据说一晚上交易额达到200多亿元……那么这件事情的来龙去脉究竟是什么呢?
事件的来龙去脉
1月20日凌晨,很多人还在熟睡。可是,却不知不觉中错过了一个千载难逢的“发财”机会。不过对拼多多来说,这可是一个有史以来最大的“黑色星期天”。
拼多多被曝出现重大Bug,任意账户可以领百元无门槛券,其中一种专门用来给手机充值的优惠券,面额是100元,充值时只需付0.46元。只要你是新注册的用户,就可以无限的领。也就是说,你可以领10张,也可以领1万张。该漏洞一直持续到上午十点左右才被堵上,漏洞出现持续整整9个小时。
此事刚被曝光时,网上有很多消费者晒单,从数千元到数十万元不等,甚至有传言称拼多多“被薅羊毛”损失高达200多亿元。从拼多多的声明内容看,公司实际损失为数千万元,并怀疑是黑灰产团伙所为。
真正幕后“黑手”
据调查,这次是有专业的“黑灰产业团”操纵的,这个团队,可以称为是专业的黑客团队。这次针对拼多多的“围攻”,是在拼多多一个过期的“优惠券”活动基础上,修改操作出来的“非法优惠行为”。因此,他不是爆发在周内的大白天,而是爆发在周末的半夜凌晨,其目的就是为了让拼多多公司人员不能及时发现,使他们这个漏洞向外“流钱”的时间变长。
对此,1月20日午间,拼多多发布关于“黑灰产通过平台优惠券漏洞不正当牟利”的声明。
针对此次事件,1月20日下午,上海公安部门接受媒体采访表示,如果真的是有黑产羊毛党恶意搞拼多多,那么本次事件是可以被当成欺诈罪处理的刑事案件。
暴露出的安全问题
具知情者透露,拼多多漏洞问题出在运营规则上,而非技术安全。这次漏洞明显是拼多多的风控能力不足导致。如果按照正常的活动流程,百元券需要设立领取门槛,结合设备指纹、登陆IP、账号等级等,给定一个领取概率,以此来避免黑客利用虚拟设备、手机牧场来批量囤积优惠券。
有些让人不敢相信,毕竟拼多多作为一个3亿人都在用的电商平台,安全防护意识却显得十分薄弱。如此重大的安全漏洞难道之前一点察觉都没有吗?这一次是优惠券的漏洞,如果下一次是用户个人信息的漏洞该怎么办呢?如果真的是这样,恐怕造成的后果是难以估量的。
一个公司既要盈利,但也要尽到自己的社会责任。对于拼多多这样的大公司来讲更是如此。希望通过这一次的安全漏洞事件,让拼多多有所警示、有所启发。这次的事件亦给喜爱发券搞促销的电商平台“拧上了弦”,加强风险控制、预警机制、技术和运营的防漏洞能力、防范网络攻击能力、网络安全应急响应能力等,都需要时时盯紧。