拼多多百元券漏洞

对于拼多多出现 100 元无门槛优惠券的漏洞可能的技术原因是什么,网易易盾业务安全产品专家刘庆进行了解读:

拼多多官宣的原因是系统 Bug,也有其他消息说其实这是一张测试券,只是被发到了线上。不论事发原因如何,事实确是可以无限领券,这种问题的成因主要有以下几个方面:

1. 反作弊检测手段:事情是后半夜爆发,其实后半夜的风控策略应比其他时间段的要严格很多,猜测拼多多在策略区分上没有做好。事情最开始是在黑灰产圈活跃,黑灰产利用接码平台中的手机黑卡都能顺利领券,说明拼多多应该没对异常手机号做检测;

2. 风控预警能力:后半夜、短时间领券量、领券额、交易量突增爆发,却几小时后才感知到,环比、同比类的风控预警在哪?这些反映着拼多多风控预警能力可能存在不足;

3. 风控评审能力:电商类、金融类业务风控评审是非常重要的一环,若风控评审时,增加一些业务规则(设置领券门槛)、制定优惠券超发、商品超售的应急方案,最终损失也不至于这么大;

4. 渗透测试能力:无限领券是一个大 Bug,和实物超卖一个道理,此类是电商类业务渗透测试最基本的 Case,说明拼多多渗透测试能力也有待加强。

谈及眼下的互联网黑产现状,网易易盾业务安全产品专家刘庆表示:

黑产一直都在

黑产确实一直都在,并且还越来越活跃,尤其最近几年越来越多的企业开展“撒钱”拉新、拉流量的活动,着实养肥了不少黑产的腰包。上个月星巴克被撸千万,活动上线 1 天就被紧急叫停止损。时隔 1 个月的今天,拼多多又被撸千万。这些被暴露出来的其实只是冰山一角,在整个互联网行业,大大小小黑产撸羊毛的事件数不胜数。

工欲善其事必先利其器,黑产也同样如此。并且黑产行业分工越来越精细、作业链也越来越完善,使得他们的技术手段也越来越先进。

主要的手段有:

1. 手机黑卡

薅羊毛首先得有个账号,目前互联网行业的账号体系基本要绑定手机号,这是一个最基本的业务活动门槛。

但对于黑灰产而言,这完全不是门槛,因为他们有达千万级别的手机黑卡库。普通的羊毛党或黑灰产人员,在一种叫做“收码平台”的系统上,便可以很低的成本价获取一个已实名认证的手机号和相应的业务短信。有了手机号和短信,即可完成业务活动。

2. 代理 IP

每个用户上网,都需要一个公网 IP。而若使用一个 IP 频繁的参与营销活动非常容易被发现,且容易被封禁。所以,黑产有各种层出不穷的代理 IP 软件和代理 IP 库,能实现秒拨,一刷一 IP。

3. 改机工具

改机工具是一种可以安装在移动设备上的 APP,能够修改包括手机型号、串码、IMEI、GPS 定位、MAC 地址、无线名称、手机号等在内的设备信息,通过不断变更设信息,伪造设备指纹,达成欺骗厂商设备检测的目的。改机工具可使一部手机虚拟裂变为多部手机,极大地降低了黑产在移动端设备上的成本。

4. 群控平台

黑灰产早已不是“单枪匹马”,而是使用群控平台,通过一台电脑,控制成千上百台设备(手机或模拟器等),只需下发一道命令,背后的设备即可同时完成操作。

关于防控

对于如何防止黑产薅羊毛,建议各家电商巨头在反作弊、反欺诈上采取以下措施:

构建手机画像:基于黑产数据、业务数据建立手机画像,比如,手机号是不是在黑产收码平台的手机库中,是不是经常做一些风控异常的操作。

阿里云-推广AD

构建IP画像:基于IP所做过的业务操作、IP层的网络属性(是不是代理等)等,构建IP画像库。

设备指纹:客户端部署SDK来采集用户设备的数据,比如:设备型号、MAC、系统版本等,用于设备模型分析和输出唯一设备ID。设备指纹的对抗成本非常高,需要专业的技术对抗。

团伙分析:可以基于IP、设备指纹、用户的网络环境,以及业务属性,构建关联分析和团伙分析模型。

构建全链路风控体系:在重要业务链路上布防风控检测,多业务关联分析、联防联控。以一个立体化的风控防御体系应对黑灰产相对单一来源的攻击。必要时刻,建议寻求第三方专业的业务风控安全厂商帮助。

网易易盾在和羊毛党的多年对抗中,沉淀出一套精准有效的风控模型和服务。在行为式验证码、注册保护、登录保护、营销反作弊、实人信息认证等常规功能之外,又叠加了人工智能、大数据、关联分析、快速模型迭代等技术实现,真正提供了一体化的安全防护服务,服务了包括网易考拉、浙报传媒、香港莎莎网等众多公司。


在经过多方求证后,这个事情已经是实锤了,带你回顾一下事情的全过程,

1,凌晨1时左右bug出现,100无门槛券可以无条件领取,一些职业羊毛党发现这点后,开始叫上身边的朋友一起去重复领取。

2,在后续获得足够收益后,有些人抱着法不责众的态度在论坛公布了这个bug。

3,今天早上九点左右,拼多多修复此bug并且所有领取的100元优惠券禁止使用。

4,对于已经使用的用户,专人对接进行沟通,并且声称将对充值到QQ渠道的QB进行收回。PDD发布公告声称1月20日晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并针对涉事订单进行溯源追踪。同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。不过正如客服所言,因bug获取不当得利在用户守则中曾明确声明,以及法律对于不当得利也有明确的规定,很难判断这次会遭受多大的损失。

这应该是今年最大的BUG了。如何看待这样的行为呢?我们需要从两个用户层面去进行考虑:

1,真实用户因为这次优惠券的出现其实并没有反常之处,不像ATM吐钱大家都觉得是不科学的,而这次仅仅是以优惠券形式出现,他们认为这个优惠券可能是像小米那样的福利,用户不会多次领取,也没有直接消费,而是选购自己喜欢的东西,像现在PDD公司进行优惠券100-5(50年)补偿的也是这一类用户。

2,职业羊毛党这就是属于黑产范畴的内容了,这种团队专就互联网公司下手,比如一家上市公司要力推直播软件,提出的优惠激励策略是:每天直播10分钟,第一天30元,第二天30元,第三天还是30元,以后每天还有10元,而且第二天即可提现。2016年底,根据统计机构的数字,该直播软件的活跃用户仅有112万,主播分成却达到了近14亿,这就是被这些羊毛党用自己的购买并管理上万张黑卡进行套现获取收益的结果。这样的案例还有很多,并且涉及多个领域,他们用虚拟身份的手机卡获取互联网公司对真实用户的激励政策。

这次也是如此,官方公告公布的就是这类黑产集团利用手中的虚假信息获利上千万。像这类的必须依法给予严惩。

希望PDD的处理能够既不让第一种用户寒心,也绝不能让第二种客户逃出法网。

最后,如此大的事件,能否成为清理这种黑产的一个契机呢?我们可以拭目以待!我是 @还呗,随时准备为你解决困惑,伸出援手的可靠伙伴,欢迎大家关注我哦~

新兴互联网企业大多有一个问题,就是技术风险成本。老牌的公司,底子大,在风险控制方面已经成熟了,比如生产隔离,比如预生产发布,比如自动化测试。而新兴互联网企业,其比较大的人力成本在于运营,即使技术人员工资较高,时薪也较低,工作量比较大,风险无法避免。

而新兴互联网企业,一般很难做到针对风险设置较大的成本,主要原因为二,一是压力较大,而技术类风险控制投入大,周期长,见效慢乃至于无(因为你把风险预防住了,是看不见效果的),其二是新兴互联网公司,都是第一代互联网公司的中高管,其中很多人是技术出生,但是并没有一直在技术第一线工作,这样的老板对于技术人员是很不友好的,一般会更更倾向于销售,产品,运营。我一直的感知是中国互联网企业有八成都在技术裸奔。

大家对于技术风险的主要处理方式都是一样的:拼运气