当前位置:100EC>媒体评论>曹磊:拼多多“漏洞”极有可能遭到有预谋黑灰产团伙组织操作
曹磊:拼多多“漏洞”极有可能遭到有预谋黑灰产团伙组织操作
发布时间:2019年03月05日 10:37:29

(网经社讯)摘要:近日,网经社-电子商务研究中心主任曹磊在接受《法制日报》记者采访时表示,“今天的职业‘羊毛党’已经属于黑灰产业链,呈现团伙化、规模化、自动化趋势,其危害不容小觑。这样的‘羊毛党’如今遍布互联网,通过利用优惠漏洞低价买进高价卖出,大量获利。”

曹磊进一步对记者说,2017年我国网络安全产业规模为450多亿元,而黑灰产业已达千亿元规模,黑灰产业比安全产业发展得更为迅速。此外,从三个数字可以看出黑产的现状:

第一个数字是 150 万,这是 2017 年网络安全生态峰会上评估出的黑产从业人员的人数。跟这个人数相比,目前业界顶尖公司中安全从业人员最多不过千余人,与黑灰产对比可谓凤毛麟角。

第二个数字是千亿,这是网络安全生态峰会上评估的黑产年产值。根据 2017 年的腾讯、阿里两家巨头的财报,两家公司净利润总和接近千亿元,黑产的年产值基本可以与这两家巨头公司并驾齐驱。

第三个是20%,这是根据之前经验评估的营销活动的资损率。举例来说,要做一个新注册的拉新活动,投了100 万去吸引用户,最后会发现至少有20万会进入黑产的口袋里。

针对“薅羊毛”现象的原因,曹磊认为,此次拼多多出现这个漏洞,有两种可能:一种可能是平台出现业务策略漏洞;另一种可能是遭到有预谋的黑灰产组织操作。但目前来看, 后者的可能性比较大。

首先,此次事件是凌晨开始出现漏洞,短短几个小时就有上千万的损失,再发酵到网络上谣言四起、各种伪造图片层出不穷。

其次,随着网络黑灰产日益规模化,对包括电商行业在内的整个互联网行业都带来巨大的挑战,如电商巨头京东平台上出售的电脑主机都是七天无理由退货,这原本是保障消费的合法权益,但一些二手商贩就会利用这个规则漏洞,在购买之后将一些芯片、主板等给换成旧的再退回去,诸如此类事件不胜枚举。

1544581673117950.jpg

以下是报道原文:《拼多多“薅羊毛”事件背后的思考》

1月20日,网传拼多多出现了严重的漏洞,用户可以领取100元无门槛优惠券。随后,有网友爆出,用领取的优惠券可以充值话费、Q币。上午9点,网友发现拼多多已将相关优惠券全部下架,直至10点左右,该漏洞才被拼多多官方修复。

针对BUG事件,拼多多方面回应称:“1月20日凌晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。”

拼多多漏洞事件再次引发了外界对非法牟利集团——黑灰产的关注,这是伴随着电商平台的兴起,逐渐形成的不法利益手段。在“互联网+”下,消费者的权益如何得到进一步的保护,平台如何有序正常运营,有待法律的逐步完善。

隐形“产值”巨大

根据公开资料显示,事件发生后,拼多多迅速向公安机关报案,警方介入。目前,拼多多平台正配合警方对涉事订单进行溯源追踪,并最终依据警方的调查结果对相关订单做出依法依规处理。

因为本次事件不涉及任何数据安全问题,平台消费者原本正常领取的优惠券使用不会受到影响。为进一步加强“特殊优惠券”相关风控体系,拼多多已成立技术专组。此外,在公安机关的指导下,拼多多表示将坚决打击黑灰产团伙,不会存在半分妥协与让步。

“今天的职业‘羊毛党’已经属于黑灰产业链,呈现团伙化、规模化、自动化趋势,其危害不容小觑。这样的‘羊毛党’如今遍布互联网,通过利用优惠漏洞低价买进高价卖出,大量获利。”网经社-电子商务研究中心主任曹磊在接受《法人》记者采访时说。

曹磊进一步对记者说,2017年我国网络安全产业规模为450多亿元,而黑灰产业已达千亿元规模,黑灰产业比安全产业发展得更为迅速。此外,从三个数字可以看出黑产的现状:

第一个数字是 150 万,这是 2017 年网络安全生态峰会上评估出的黑产从业人员的人数。跟这个人数相比,目前业界顶尖公司中安全从业人员最多不过千余人,与黑灰产对比可谓凤毛麟角。

第二个数字是千亿,这是网络安全生态峰会上评估的黑产年产值。根据 2017 年的腾讯、阿里两家巨头的财报,两家公司净利润总和接近千亿元,黑产的年产值基本可以与这两家巨头公司并驾齐驱。

第三个是20%,这是根据之前经验评估的营销活动的资损率。举例来说,要做一个新注册的拉新活动,投了100 万去吸引用户,最后会发现至少有20万会进入黑产的口袋里。

北京盈科(杭州)律师事务所律师方超强看来,关于“薅羊毛”的现象,目前并无统一、权威的数据或者报告。但有不少智库、调查公司做过独立的调查,总体而言,“薅羊毛”已经从单人发展到群体化、规模化,形成了专业的薅羊毛团伙和一条上下游分工明确的完整产业链。近几年来,“薅羊毛”事件造成的损失在逐步扩大。

针对“薅羊毛”现象的原因,曹磊认为,此次拼多多出现这个漏洞,有两种可能:一种可能是平台出现业务策略漏洞;另一种可能是遭到有预谋的黑灰产组织操作。但目前来看, 后者的可能性比较大。

首先,此次事件是凌晨开始出现漏洞,短短几个小时就有上千万的损失,再发酵到网络上谣言四起、各种伪造图片层出不穷。

其次,随着网络黑灰产日益规模化,对包括电商行业在内的整个互联网行业都带来巨大的挑战,如电商巨头京东平台上出售的电脑主机都是七天无理由退货,这原本是保障消费的合法权益,但一些二手商贩就会利用这个规则漏洞,在购买之后将一些芯片、主板等给换成旧的再退回去,诸如此类事件不胜枚举。

专业的“薅羊毛”集团

对于黑灰产团伙是一个什么样的组织?如何界定其性质?方超强在接受记者采访时表示,尽管称之为“黑灰产”团伙,实际上还是有“黑产”与“灰产”的区别,根据2015年国家互联网应急中心对“黑产”的范围界定,主要包括“黑客攻击”“盗取账号”“钓鱼网站”三种类型。而“灰产”则是游离于合法与非法边缘的牟利行为。

“我个人看来,黑灰产团伙就是专业通过互联网方式谋取不正当利益的不法团伙,从大部分的黑灰产行为来看,触犯刑法的概率非常高,称之为犯罪团伙也不为过。”方超强说。

在方超强看来,利用系统漏洞进行不法牟利的行为需要从多维度去分析,例如,一、有无利用系统漏洞进行黑客攻击和其他损害计算机系统的行为,如有,则涉嫌破坏计算机系统罪;二、根据黑灰产团队变现或者获利的方式不同,既有可能涉嫌诈骗,也有可能涉嫌盗窃;三、如果同时有多种行为的,完全有可能数罪并罚,且刑期绝不会短。

而北京亿达(上海)律师事务所律师董毅智则对记者说,这种行为警方的定性还是很准确的,确实可能属于网络诈骗,那么罪名应该就属于诈骗罪,只不过是通过网络这种渠道利用系统的漏洞来实现。这可能是一种新型犯罪形式,在移动互联网的时代,未来这种事情可能会越来越多。

“如何界定的话,我觉得与诈骗罪本身犯罪构成还是一致的,是利用不法的手段让平台的系统产生错误的认识,基于这个认识,产生不法的犯罪利益,因此犯罪构成还是按照诈骗罪来界定的。”董毅智说。

对于拼多多的案件,上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。董毅智认为,在法律后果上,因为形式上涉及诈骗罪,对涉案财产进行保全,没有太大的问题。

董毅智对记者强调,对于“薅羊毛”主体的不法后果,要区分对待。如果消费者的行为并无诈骗的意识,他的初衷仅仅是“薅羊毛”行为,那么从主观上并不构成诈骗罪犯罪要件。因此,如果仅仅是为了享受优惠的政策的情况,拼多多平台和警方应该区别对待。

对于一些非正常的行为,董毅智说:“我觉得平台本身可能在前期运营推广上,为了增加客户黏性,也采取了一些措施。那么消费者也逐渐一种消费习惯。所以说,消费者可能也在电商平台上养成了这样一种‘薅羊毛’的习惯,在短时间内,消费者的这种心态可能并不能马上改变。”

他进一步说,尽管民事上可能会构成不当得利,但具体情况还要区分对待,且每个个体的情况可能也要区分对待。根据现有的情况,可能构成不当得利。如果构成不当得利,那么是应该返还的。

对于普通消费者“薅羊毛”的行为,方超强也对记者表示:“首先,从性质上看,普通盲从消费者所得优惠券确实构成不当得利,应当予以返还;其次,拼多多平台用户注册协议本身也对此类情况有所规定,禁止利用BUG谋取不正当利益。从前述两个方面看,普通用户应当是需要返还优惠券的。”

如何规制是业内新课题

关于拼多多等电商平台的损失应该由谁来承担的问题,方超强对记者说: “拼多多损失挽回或者追索,方向还是比较明确的:首先普通用户的订单和优惠券可以取消或者停用;其次,黑灰产团伙的赔偿;最后,由于黑灰产团队变现的主要方式是话费和Q币充值,一旦行为被确定系犯罪,则相关话费充值和Q币充值行为均非正当消费行为,可以确认消费合同无效,且要求相关公司返还款项。”

董毅智同样认为,拼多多的损失应该包括两部分,一部分是黑灰产集团,他们的行为明显构成了刑事犯罪,当然可以以赃款的形式通过公安机关、法院追回损失;另一部分是消费者,也就是说消费者返还的部分,可以通过民事诉讼的方式进行维权。但是因为都是小额的,他认为平台和消费者之间可以进行协商。

对于黑灰产团伙的行为给电商行业带来的危害,董毅智对记者说:“‘薅羊毛’黑灰产严重扰乱了正常的市场竞争秩序,不但直接侵害了经营者的财产权,而且会大幅度提高企业的经营成本;此外,也损害了电商平台普通消费者的利益,使其无法得到真正的优惠。”

他进一步说,黑灰产团伙的行为对电商集团的危害是很大的,但需要深入思考其产生的原因,也可能跟整个电商行业的发展有一定的关系。电商行业的发展总是通过补贴、砸钱这种简单粗暴的营销方式来增加客户的黏性,或者一味追求客户的数量,来达到后期垄断市场、拥有定价权的目的。

“从早期的淘宝、京东,到现在的拼多多,都是这种发展模式。我们首先做的应该是反省这种模式,因为有这样的生态,才会产生黑灰产业团伙。”董毅智说。

另一方面,相关的立法、执法也应逐步完善。尤其是立法上针对这种灰黑产业,仅仅通过刑事的手段还不足以监管,日常的监管应该如何做,可能不仅仅是平台自身的问题,可能需要各个部门的衔接。

此类产业集团结合了黑客、对电商行业熟悉的人员以及所谓的企业内鬼等各类参与者。那么,如何在技术上通过大数据的手段侦察,以及如何在法律上、监管上进行防范,这是一个很大的命题,此案件也正好给行业带来一个警示。

董毅智表示,这一次实际上伤害的是平台拼多多的利益,而日常中可能大部分伤害的是消费者和用户的利益。作为消费者往往属于弱势的状态,这种情况该如何去主张权利,该如何处理,也是我们需要平衡的。

此外,在监管的过程中,在消费者利益受损害的情况下,如何利用更加经济、有效的维权方式去减少损失,在消费者权益保护方面,往往更具有挑战性,这个问题一直以来也在困扰着整个电子商务行业的发展。

方超强同时对记者表示,此次事件的负面影响有多方面。最直接的是经济损失,其次是电商平台商誉的损失,妨害了相关电商平台的健康发展。

对于如何打击黑灰产业链,对电商的建议,他在接受记者采访时表示,首先要提升计算机系统的安全防护水平;其次要加强对于舆情和异常数据的监测能力,做到及早发现,及早处置;最后,还要完善平台注册协议等协议文本,确保出现类似情况时可根据合同条款便利处理。

“要从生态链的根本上解决问题,然后在立法、执法、监管,以及用户保护上进行全方位的完善,我们还有很多工作要做。我希望有关主管部门来牵头组织解决这个问题,而不能以亡羊补牢的方式进行事后监管。”董毅智最后对记者说。(来源:法制日报 文/李立娟)

网经社联合A股上市公司网盛生意宝(002095.SZ)推出消费品在线供应链金融解决方案。该产品具有按需提款、按天计息、随借随还、专款专用、循环信用贷、全线上流程操作等特点,解决消费品供应链核心企业及下游经销商/网店因库存及账期造成的流动性差“痛点”。》》合作联系

网经社“电数宝”电商大数据库(DATA.100EC.CN,注册免费体验全部)基于电商行业12年沉淀,包含100+上市公司、新三板公司数据,150+独角兽、200+千里马公司数据,4000+起投融资数据以及10万+互联网APP数据,全面覆盖“头部+腰部+长尾”电商,旨在通过数据可视化形式帮助了解电商行业,挖掘行业市场潜力,助力企业决策,做电商人研究、决策的“好参谋”。

【投诉曝光】 更多>

【版权声明】秉承互联网开放、包容的精神,网经社欢迎各方(自)媒体、机构转载、引用我们原创内容,但要严格注明来源网经社;同时,我们倡导尊重与保护知识产权,如发现本站文章存在版权问题,烦请将版权疑问、授权证明、版权证明、联系方式等,发邮件至NEWS@netsun.com,我们将第一时间核实、处理。

        平台名称
        平台回复率
        回复时效性
        用户满意度
        微信公众号
        微信二维码 打开微信“扫一扫”
        微信小程序
        小程序二维码 打开微信“扫一扫”