(网经社讯)摘要:近日,电子商务研究中心主任曹磊在接受《中国日报》记者采访时表示,网络黑灰产业甚至都不全是黑客型的,有的只是利用漏洞谋取不正当利益。
以下是报道原文全文:《拼多多系统BUG被薅数千万优惠券,能追回吗?》
昨天,一则“拼多多系统bug被薅羊毛”的新闻吸引了双语君的注意。
据路透社报道:
上周日,中国团购电商平台拼多多表示,一网络团伙利用其平台上的漏洞,“窃取”了数千万价值的优惠券。
拼多多在其官方微博上声明,他们第一时间修复了漏洞,并已向警方报案。
“薅羊毛”究竟怎么回事?
1月20日凌晨,有网友爆出拼多多存在重大BUG,用户可领100元无门槛券。
据页面显示,有效期一年,并且全场通用。
此后“有大批用户开始媷羊毛,一晚上都是话费充值”。
有网友表示,凌晨3点多被“喊醒”,一起去拼多多“薅羊毛”,“只需支付4毛钱,就可以充值100元话费”。于是,不少及时充到了话费的网友就在微博上晒“战果”。
这场“薅羊毛”的行动并没有被分分钟“扼杀在摇篮里”。
直到20日早上9点,二维码依然有效。漏洞持续了数个小时,到了九点半左右,才终于被官方全部封死……
拼多多紧急将所有优惠券的领取方式下架,那些领了这种优惠券但没使用的,第一时间就被收缴。
用这个优惠劵买的商品,因为没有发货,直接被拼多多进行了强制退款处理。
其实这种“系统bug导致被薅羊毛”的事情不是第一次发生了。
据微博网友和微信公众号“值行”反映,1月7日中午,爱彼迎的iOS版App出现汇率漏洞,使用英镑、欧元、美元搜索酒店,在最后一步添加付款方式时选择“人民币支付”,App会保留原来的数额并使用人民币来支付订单,譬如一间87美元的民宿实际支付为87元人民币,而房东收到的平台打款仍是正常价格。
甚至还有人改为越南盾支付……
目前,1元的人民币等于3417.8个越南盾……
1月9日爱彼迎公布了处理办法:对于订单入住日期在1月13日之前的房客,爱彼迎将承担全部差额;对于订单入住日期在1月13日当日及之后的房客,可选择继续维持原订单,爱彼迎将提供补款链接,邀请房客在48小时内补齐房款;如果房客选择放弃原订单,将退还其已支付的全部款项。爱彼迎表示,“无论房客做何种选择,我们都将为此次受到影响的每位房客赠送价值人民币100元的旅行基金”。
此前东航、去哪儿网相继出现错价机票的情况。去年11月17日,东方航空一些销售渠道出现错价机票,多条国内航线机票显示“白菜价”,随后东航表示,错价票出现是由于价格维护时出现参数异常,东航自掏腰包为这次系统问题买单,顺势做了一场公关。
随后几日,机票代理商北京华美逸达国际旅行社称,由于中国银行外汇牌价系统汇率报价错误,导致其在去哪儿网、携程、阿里飞猪等平台上投放的国际机票产品价格严重出错,已经产生的差额损失预估超过500万元。由于损失巨大,无力承担,该机票代理商委托平台,请求乘机人进行退票处理,并对出行受到影响的乘机人进行赔偿。
拼多多:黑灰产团伙利用漏洞盗取
拼多多方面表示,20日凌晨有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,拼多多已第一时间修复漏洞,并正对涉事订单进行溯源追踪。
“同时我们已向公安机关报案,并积极配合相关部门对涉事黑灰产团伙予以打击。”
黑灰产业团伙是什么?
声明中提到的“黑灰产团伙”,大众可能不是很了解,在业内却是为害已久。
据南都大数据研究院联合阿里巴巴发布的《2018网络黑灰产治理研究报告》,黑灰产业链存在四大类型:
技术类黑灰产业,包括虚假账号注册等在内的源头性黑灰产业;
用于非法交易、交流的平台类黑灰产业;
技术类黑灰产业,如木马植入、钓鱼网站、各类恶意软件等;
网络黑账号,多以恶意注册、虚假认证、盗号等形式出现
报告估算,2017年国内活跃的专业技术黑灰产业平台多达数百个,黑灰产业已达近千亿元规模,但我国网络安全产业规模为450多亿元。
电子商务研究中心主任曹磊表示,网络黑灰产业甚至都不全是黑客型的,有的只是利用漏洞谋取不正当利益。
一个最典型的例子是,一些网购平台出售的电脑主机标注七天无理由退货,这是为了保障消费合法权益,但部分二手商贩利用这个规则漏洞,在购买之后将一些芯片、主板等给换成旧的二手再退回去,企业若对此进行维权,也要付出不少成本。这等行为,伤害的不只是电商产业,更给整个互联网行业都带来巨大的挑战。
网络安全专家严寒冰表示,根据目前新闻中披露的情况,这次的漏洞应当是流程上的漏洞,并不属于网络入侵行为。关于技术详细的情况,目前还在进一步了解,关于其法律问题,还需要专业人士解答。
此次事件中有一个细节,就是凌晨出现的漏洞,直到上午九点左右拼多多方面才进行了修复,这在网络安全行业中属于很慢的反应速度。严寒冰认为,这说明拼多多的风控是有问题的。出了这么异常的情况,拼多多反应如此之慢。
否认损失200亿
有传言称,此次事件或使拼多多损失200亿。
据拼多多相关负责人称,“比薅羊毛更快的是‘资损200亿’谣言的传播速度”,没想到在系统没有任何数据安全漏洞的情况下,黑灰产还能利用规则漏洞薅走总价值数千万的优惠券。
“羊毛党刚散,亡羊补牢中,已向警方报案,最终还能追回不少,实际资损大概低于千万元,真的没有200亿”。
目前,拼多多正在追回损失,据微信公众号“差评”报道,这次利用漏洞充值 Q 币的,都被腾讯强制冻结了。
拼多多能追回损失吗?
北京市金台律师事务所专业律师郭军认为,如果拼多多声明属实,那么这个发放优惠券的漏洞从法律上应属于重大误解。
根据《民法总则》和《合同法》规定,重大误解属于民事法律行为可撤销的事由之一。对于领取优惠券的消费者,如果拼多多依法请求人民法院予以撤销并获得支持,那么领取消费券的消费者应予以返还,对于领取的优惠券属于法律上不当得利,负有返还义务。但是对于不当得利的返还,应区分得利人主观善意或恶意。
具体到本案,可以有两条判断标准。第一,数量,普通消费者购买数量应该不多,不会大量购买;第二是否出现大量重复注册账户形式领取使用。
当然,具体到个案会更加复杂,司法裁量的空间也比较大。而且,从诉讼成本来看,拼多多不加区分全部起诉,诉讼成本会非常高。也可能会对公司形象造成不利影响。
《新京报》引用接近拼多多方面的人士称,参与此次漏洞的普通用户并不多,资产损失大部分来自黑灰产团队。
中国财政科学研究院应用经济学博士后盘和林认为,如果拼多多声明和该报道属实,那从该企业发展的角度看,对黑产组织要以法律手段追回损失,对普通用户不建议一一计较,一方面维权成本高,一方面对企业自身形象不利。
拼多多更需要做的,是从技术等角度反思自已,避免再次发生类似事件,亡羊补牢才是上策。
不过对拼多多“黑灰产”的辩解,不少网友都表示不买账。
(来源:中国日报 文/张周项)