除了损失数千万 拼多多漏洞还有诸多谜团

本篇文章2915字，读完约7分钟

作为仅次于阿里和京东的中国第三大电商巨头，许多美股上市公司都应该有相应的成熟的安全计划，而此次优惠券漏洞事件至少反映出该平台在风险控制方面仍然存在不足。虽然系统已经修复，但许多相关问题仍未解决。

人们怀疑黑人生产队已经杀了很多人。

1月20日上午，大量网民在社交平台上发帖称，从当天一大早开始，Pinduoduo平台就出现了重大漏洞，用户可以直接收到100元的无门槛优惠券。这种病毒被“羊毛党”发现，并迅速在互联网上传播。直到那天上午10点左右，系统才被正式修复，所有相关的优惠券都被从货架上拿走了。

一时间，各种各样的谣言开始在网上传播，如一夜之间损失200亿元，用户的“薅羊毛”话费或q币被品多多客服威胁起诉，后来被证实为谣言。

品多多官员称，一些黑色和灰色制作团伙通过过期优惠券漏洞窃取了数千万张平台优惠券，并从中获取不公平利润。该平台在第一时间修复了漏洞，追踪了涉案订单，并向公安机关报案。

官方声明无法阻挡网民的热情，当天新浪微博和百度热门搜索列表多次列出了许多相关话题。一些网民不断在社交平台上贴出数千张手机账单和q币充值记录，还有一些用户声称将q币转换成游戏道具进行交易，以应对追逐更多责任的潜在风险。

在这个狂欢的“羊毛党”和可疑的黑人生产力量，有许多奇怪的地方。包括当漏洞被发现时，长业务链中的哪个环节出了问题，如何处理，有多少受影响的商户，等等。

截至本出版物，仍没有关于上述问题的明确声明。在回答《中国企业家》记者的提问时，平多多表示，在警方调查期间，暂时不便透露案件的相关细节，后续工作的最新进展将尽快与您同步。

不同于前面的三个特征

从目前的公开信息来看，这次比赛有几个特殊的问题。

首先，卡的数量没有上限。

没有阈值优惠券，这不同于常见的“全折扣”优惠券。后者可以用少量补贴刺激大量用户消费，帮助电子商务平台完成gmv等主要业务数据；前者不需要用户额外消费，这几乎相当于给用户钱。

因此，一般来说，所有没有阈值的优惠券都将受到限制，例如相同账号、手机号码和设备id的购买次数。在品多多现有的优惠券上，还标注了“如发现恶意刷卡等违法行为，平台有权在法律范围内进行相应处理”等字样。

然而，品多多似乎并没有设定收到这张优惠券的上限。此外，优惠券不是传统的“抢购”设置，而是随意收取的，这直接导致了品多多官方标准中的“数千万元”损失。

其次，没有门槛的优惠券可以换成虚拟商品。

电子商务平台从业者刘欣(化名)告诉《中国企业家》杂志，一般来说，没有门槛的优惠券是不能换成虚拟产品(包括电话费、q币、游戏卡等)的。)和贵金属投资产品，如黄金和白银。根据各大平台的实际情况，一般观众普遍使用的优惠券通常标有“虚拟商品除外”字样。

虚拟商品交易是互联网黑色产品常见的洗钱方式，因此受到各大电子商务平台的重视，优惠券的使用范围受到严格限制。同时，禁止交换虚拟商品，这使得追踪黑市商品的身份变得容易。毕竟，实物商品需要邮寄地址。

在这种情况下，许多优惠券可以毫无障碍地兑换成上述虚拟商品。在采访中，许多从业者表示惊讶。

最后，为什么没有门槛的优惠券数量如此之大？

与普通的全折扣优惠券不同，无门槛优惠券的数量通常很少，尤其是那些可以兑换成虚拟商品的优惠券，而且数量多以个位数为单位。在JD.com和淘宝等平台上，电话费的优惠券一般不超过5元。

然而，这一次的券面额是100元，这种没有门槛的大额券并不是常见的类型。特别是考虑到其收集量的无限性，应具有严格的安全保护措施，以及设计、测试、在线和风险控制等各个过程中的错误预警和处理方案。

对于像品多多这样仅次于阿里和京东的电子商务巨头来说，此次优惠券事件无疑将对其技术和安全声誉产生影响。

我应该为“打碎羊毛”的用户做些什么

另一个广为关注的问题是如何对待那些“薅羊毛”的普通用户。目前，平台方面还没有进一步解释这一点。

与网络黑产品涉嫌违法犯罪不同，“薅羊毛”行为在网民中更为常见。其他公司以前也遇到过类似的漏洞。一般来说，当确认平台出错且损失不大时，他们会选择自己承担损失。

2017年12月31日，腾讯视频暴露出系统漏洞。用户只需支付0.2元就可以获得价值20元的视频会员，同一账户可以购买多次。漏洞出现半小时后，腾讯发现并关闭了它，但即便如此，仍有39万用户参与，并产生了287万个订单。简单计算显示，腾讯视频的会员费损失超过5600万元。

2018年1月5日，经过最终调查，腾讯视频宣布问题是由于其工作失误造成的，腾讯将兑现用户购买的所有异常订单，不再扣款。

但是，自2019年1月1日起正式实施的《电子商务法》第49条有以下规定:

如果电子商务运营商发布的商品或服务信息满足要约条件，则用户选择商品或服务并成功提交订单，合同成立。除非双方另有约定，否则以此协议为准。

电子商务经营者不得同意消费者以格式条款形式支付价款后合同不成立；如果格式子句包含此内容，则其内容无效。

根据《品多朵服务协议》，在“用户代码”下，有一个协议是“品多朵平台的插件被禁止和/或品多朵平台中的漏洞被用来获取非法利益”。

上海大邦律师事务所高级合伙人游听云告诉《中国企业家》，从目前披露的信息来看，这是一起民事案件，而不是刑事案件，它属于平台自身产品的设计，不是黑客攻击的结果。如果你需要捍卫自己的权利，这一事件可能会构成法律上的“重大误解”。

根据民法通则，重大误解是指由于一方当事人自身的过错导致对合同内容的误解而订立的合同。重大误解在法律上是可以撤销的，但一般来说，撤销权需要通过法院来行使。

事实上，为了保障交易安全，法院在审理“重大误解”案件时非常谨慎，不会轻易判断是否只是一个一二百元的小事件。

友听云认为，如果用户不使用优惠券，品多多禁止他们使用也没有问题。然而，如果用户已经消费了优惠券，像品多多、中国移动和腾讯这样的公司不应该在法院判决前直接冻结相关交易。

网络黑色产品的幽灵挥之不去？

事件远未结束。

作为美国股市的上市公司，品多需要在本季度的财务报告中披露这一漏洞带来的实际损失数据。如果优惠券用于平台自营商品，则需要在财务报告中作为销售成本计算，如果优惠券用户是第三方商户，则需要作为营销成本计算。

财务报告显示，2018年第三季度，品多多多的收入为33.72亿元，归属于普通股东的净亏损为10.98亿元。从这个数据来看，如果在这次事件中损失几千万元，将对多多产生很大的影响。

与之前腾讯视频和东航的窃听器事件不同，这场争斗显示出有网络黑势力参与其中。

利用公司业务漏洞进行违规操作在网络黑生产行为中占很大比重。

据腾讯证券向中国企业家提供的数据显示，截至2018年底，腾讯综合安全服务平台已收到超过1247万条来自用户的有效举报，举报最多的是欺诈，其次是色情和赌博，第三是非法使用腾讯业务，占8%，接近100万条。

对于p2p、电子商务和其他行业来说，打击互联网黑生产是一项长期而复杂的工程。所有公司，尤其是巨头，都非常重视它，并且有一个相对完整的响应过程。如果你努力奋斗，你应该有足够的准备。

这一事件中暴露出的许多秘密需要通过披露更多的新信息来解决。

来源：搜狐微门户