“拼多多”惊爆重大 Bug！程序员的眼泪，羊毛党的狂欢

这次，拼多多真成拼夕夕了……

新年添福旺，拼多多给你“拜年”啦——

今日有消息爆出，称从 20 日凌晨开始，拼多多出现重大 Bug，用户无需抢购即可任意领取 100 元无门槛优惠券（特殊商品除外），有效期一年且全场通用。

专职羊毛党闻风而至，半夜呼朋引伴薅羊毛，不甚欢腾。更有传言称“ 一夜交易额达 338 亿元，其中 200 多亿都是难于追回的话费充值“，一时间，众皆感叹于这场“夜薅 200 亿”的羊毛党狂欢（拼多多官方已辟谣）。

事件曝出后，拼多多方面回应表示这是技术上的 Bug，且正在紧急修复中。据悉，该 Bug 于上午九时许修复完成，此后用户无法再通过这一渠道获取优惠券。但由于领取未用的优惠券也 同时 全部失效，亦引发了不少网友的不满，欲向拼多多“讨要说法”。官方人工客服一度繁忙，排起长队。

拼多多官方回应：200 亿，扯淡

比薅羊毛更快的是“资损 200 亿”谣言的传播速度。

随着各路传言猜测越炒越烈，拼多多官方也于社交平台发布声明，称此次事件为“黑产通过平台优惠券漏洞不正当牟利”，且 “平台 已第一时间修复漏洞”。

但声明中的“第一时间”也在第一时间遭到众嘲，一个漏洞从大半夜沸沸扬扬到了上午九点多才被发现，拼多多的风控团队此番也遭到质疑。

实物砍单、优惠券禁用，除了难办的话费和 Q 币等，拼多多正在尽力挽回损失，对于坊间盛传的“被薅羊毛 200 亿”，拼多多发言人表示，“没想到在系统没有任何数据安全漏洞的情况下，灰黑产还能利用规则漏洞薅走总价值数千万的优惠券”，“ 已向警方报案，最终还能追回不少，实际资损大概率低于千万元 ”。

据传，这位发言人还于朋友圈调侃吐槽，“真的没有 200 亿，深更半夜的，全国人民全部起来每人薅十块钱，大家觉得可能么……就看周一三大运营商会不会涨停了”。

但对于此番回应，有评论从官方声明中发现了“关窍”，认为若拼多多此次损失真不足千万，那大可将此次损失回馈用户，赚来一次绝佳的“营销”机会，而不是急于挽回损失。

程序员开年第一「 祭 」

别了，我的年终奖……

事发同时，疑似当事程序员 于脉脉职言区 留言悼念全部门集体泡汤了的年终奖，引来不少吃瓜群众的围观。

其身份真假尚无从考证，但这场闹剧背后，注定要有一个乃至一批程序员“壮烈”了。

假 Bug 真营销？

世间最不乏阴谋论，只要结果对某方有利，我们就不会排除其“早有预谋”的可能。因此，不少人在这场“事故”中大胆猜测——这会不会是拼多多策划的一场兴师动众的大型营销把戏。

事实上，Bug 营销并不罕见：

2017 年 5 月，肯德基 App 出现了一个大 Bug，用户将账号生日改为“20160828”，即可在 5 分钟内获赠一张六人全家桶半价券（有效期至 8 月 31 日）——于是乎，一传十十传百，这个 Bug 硬是将肯德基 App 送上了排行榜前 50 名。

再往前看，2013 年 6 月，百度云支付系统爆出重大支付 Bug，其上所有产品价格降至原价的 1/1000，秉持着“有便宜不占白不占”的理念，众人纷纷下载、注册、购买一条龙……

所以拼多多此举是否也在践行“假 Bug”的营销手段呢？对此，有评论认为，结合其官方声明及危机应对措施不难发现，拼多多这次大概是真的踢到铁板了，这个“哑巴亏”也算是吃定了。

Bug 背后的原因是什么？

事实上，长期以来，类似事件不止拼多多一家，2018 年 1 月初，腾讯视频也曾就 0.2 元 VIP 会员支付异常问题发出了声明，同年还有王者荣耀皮肤 bug……既然并非偶发事件，那么这类 Bug 的成因又是什么？

关于这个问题， CSDN（ID：CSDNnews）特别咨询了 网易易盾业务安全产品专家刘庆 ，他表示：

拼多多官宣的原因是系统 Bug，也有其他消息说其实这是一张测试券，只是被发到了线上。不论事发原因如何，事实确是可以无限领券，这种问题的成因主要有以下个方面：

1. 反作弊检测手段：事情是后半夜爆发，其实后半夜的风控策略应比其他时间段的要严格很多，猜测拼多多在策略区分上没有做好。事情最开始是在黑灰产圈活跃，黑灰产利用接码平台中的手机黑卡都能顺利领券，说明拼多多应该没对异常手机号做检测；

2. 风控预警能力：后半夜、短时间领券量、领券额、交易量突增爆发，却几小时后才感知到，环比、同比类的风控预警在哪？这些反映着拼多多风控预警能力可能存在不足；

3. 风控评审能力：电商类、金融类业务风控评审是非常重要的一环，若风控评审时，增加一些业务规则（设置领券门槛）、制定优惠券超发、商品超售的应急方案，最终损失也不至于这么大；

4. 渗透测试能力：无限领券是一个大 Bug，和实物超卖一个道理，此类是电商类业务渗透测试最基本的 Case，说明拼多多渗透测试能力也有待加强。

狂风过境，羊毛遍地

公元 2019 年 1 月 20 日，羊毛党举家奇袭拼多多，多折兵马众，史称“拼羊毛之乱”……

凌晨三点被收获抢券”Morning Call“；掐准漏洞狂充话费、Q 币……在这场打着”法不责众“旗号的事件中，羊毛党似乎是最大的赢家。

很多普通用户表示，直到拼多多一路狂飙冲上热搜，才知道在自己好梦正酣时唱了这么一出，戏称一觉醒来错过一个亿。

作为打法律擦边球的一把好手，羊毛党长期游走在法律边界，在违法的边缘“大鹏展翅”，甚至在很大程度上损害了普通消费者的权益。

谈及眼下的互联网黑产现状， 网易易盾业务安全产品专家刘庆 表示：

黑产一直都在

黑产确实一直都在，并且还越来越活跃，尤其最近几年越来越多的企业开展“撒钱”拉新、拉流量的活动，着实养肥了不少黑产的腰包。上个月星巴克被撸千万，活动上线 1 天就被紧急叫停止损。时隔 1 个月的今天，拼多多又被撸千万。这些被暴露出来的其实只是冰山一角，在整个互联网行业，大大小小黑产撸羊毛的事件数不胜数。

工欲善其事必先利其器，黑产也同样如此。并且黑产行业分工越来越精细、作业链也越来越完善，使得他们的技术手段也越来越先进。

主要的手段有：

1. 手机黑卡

薅羊毛首先得有个账号，目前互联网行业的账号体系基本要绑定手机号，这是一个最基本的业务活动门槛。

但对于黑灰产而言，这完全不是门槛，因为他们有达千万级别的手机黑卡库。普通的羊毛党或黑灰产人员，在一种叫做“收码平台”的系统上，便可以很低的成本价获取一个已实名认证的手机号和相应的业务短信。有了手机号和短信，即可完成业务活动。

2. 代理 IP

每个用户上网，都需要一个公网 IP。而若使用一个 IP 频繁的参与营销活动非常容易被发现，且容易被封禁。所以，黑产有各种层出不穷的代理 IP 软件和代理 IP 库，能实现秒拨，一刷一 IP。
3. 改机工具

改机 工具 是一种可以安装在移动设备上的 APP，能够修改包括手机型号、串码、IMEI、GPS 定位、MAC 地址、无线名称、手机号等在内的设备信息，通过不断变更设信息，伪造设备指纹，达成欺骗厂商设备检测的目的。改机工具可使一部手机虚拟裂变为多部手机，极大地降低了黑产在移动端设备上的成本。

4. 群控平台

黑灰产早已不是“单枪匹马”，而是使用群控平台，通过一台电脑，控制成千上百台设备（手机或模拟器等），只需下发一道命令，背后的设备即可同时完成操作。

关于防控

对于如何防止黑产薅羊毛，建议各家电商巨头在反作弊、反欺诈上采取以下措施：

• 构建手机画像：基于黑产数据、业务数据建立手机画像，比如，手机号是不是在黑产收码平台的手机库中，是不是经常做一些风控异常的操作。

• 构建IP画像：基于IP所做过的业务操作、IP层的网络属性(是不是代理等)等，构建IP画像库。

• 设备指纹：客户端部署SDK来采集用户设备的数据，比如：设备型号、MAC、系统版本等，用于设备模型分析和输出唯一设备ID。设备指纹的对抗成本非常高，需要专业的技术对抗。

• 团伙分析：可以基于IP、设备指纹、用户的网络环境，以及业务属性，构建关联分析和团伙分析模型。

• 构建全链路风控体系：在重要业务链路上布防风控检测，多业务关联分析、联防联控。以一个立体化的风控防御体系应对黑灰产相对单一来源的攻击。必要时刻，也可以寻求第三方专业的业务风控安全厂商帮助。

最后，对于这场一地“羊毛”的黑产狂欢，你怎么看？

【完】

 热 文推 荐 

☞  CSDN 创始人蒋涛：AI 定义的开发者时代

☞  你真的知道如何在 GitHub 上高效搜索开源项目吗？

☞  程序员不努力，和咸鱼有什么分别？

☞ “对不起，你的离职是我的错！”

☞   Gartner的预言：通向混合IT之旅

☞  阿里“菜鸟”AI？

☞  刚刚！华为又被美国盯上了！

☞  心疼！能为 程序员 男友做些什么吗？

print_r('点个好看吧！');
var_dump('点个好看吧！');
NSLog(@"点个好看吧！");
System.out.println("点个好看吧！");
console.log("点个好看吧！");
print("点个好看吧！");
printf("点个好看吧！");
cout << "点个好看吧！" << endl;
Console.WriteLine("点个好看吧！");
fmt.Println("点个好看吧！");
Response.Write("点个好看吧！");
alert("点个好看吧！")
echo "点个好看吧！"

点击“阅读原文”，打开 CSDN App 阅读更贴心！

喜欢就点击“好看”吧