财讯：拼多多漏洞事情损失数成千上万 ＂薅了羊毛＂的客户如何办?

本篇文章3072字，读完约8分钟

“退潮后才知道谁裸泳”的排行榜显示了中国经济的“大事”和“大势”！ “十大经济年度人物选拔”高潮！ 【点击投票】pick你心中的商业领袖

【相关阅览】

很多bug事的始末:没有明确是否收回涉案的金额

中国电商第三大巨头的拼写在“羊毛门”上做错了什么？

在很多bug事件中捞钱的人应该被追究责任吗？ 律师:属于不当利益

是否能遭受很多损失收复成千上万的可疑律师:羊毛党或相关犯罪

除了损失数千万外，还有很多脆弱性，还有很多谜团

作为仅次于阿里和京东的国内第三大电商企业，美股上市企业应该具备相应成熟的安全预案，但这次的优惠券bug至少反映了这个平台存在风控短板。 现在系统已经修复了，但与之相关的很多问题还没有解决。

记者崔鹏

怀疑是黑产军团杀的。

1月20日上午，许多网民在社会交流平台上宣布，从当天凌晨开始，许多平台出现严重错误，顾客可以直接领取100元无门槛优惠券。 这个bug被“羊毛党”发现后迅速在网上传播，直到当天上午10点左右系统被正式修复，相关优惠券全部下台。

一时，谣言在网上开始传开了。 例如，一晚损失200亿元，顾客“玫瑰羊毛”的充值费和q货币被很多顾客服务威胁起诉等，谣言得到证实。

许多官方表示，黑灰产集团通过过期优惠券的漏洞，窃取数千万元平台的优惠券，非法获利，平台已经在第一时间修复漏洞，追踪相关订单，通报公安机关。

官方声明挡不住网民的讨论热情，当天许多相关话题多次出现在本微博和百度热搜排行榜上。 一位网民在社会交流平台上继续晾着千万元的话费和q币充值记录，有些顾客为了应对潜在的拼写而追究风险，花费q币，转换成了游戏道具交易。

在这个怀疑“羊毛党”和黑产势力的狂欢中，有很多引起好奇心的地方。 包括什么时候发现漏洞，中间长的商业链的哪个部分发生了问题，很多时候是怎么解决的，有多少受影响的商户等。

关于上述问题，在本文发表新闻之前，还没有确定的说法。 在很多情况下，回答“中国公司家”记者的咨询时，在警察的调查期间，暂时不方便透露事件相关的细节，之后如果有最新的进展，马上与大家同步。

与以往的三个好处不同

从现在公开的新闻来看，这次的拼写优惠券有几个问题。

首先，卡号没有上限。

没有门槛的优惠券和一般的“减额”优惠券不同。 后者可以用少量补贴提取大量客户的费用，有助于EC平台完成gmv等主要经营数据。 前者不需要给客户额外的费用，就像给客户“送钱”一样。

因此，一般来说，在整个会场没有共同门槛的优惠券，通过比较相同的账号、手机号码、设备id等来限制购买数量等，有领取限制。 现有的很多其他优惠券也记载了“发现恶意刷票等违反行为的情况下，平台有权在法律范围内进行相应的解决”等。

但是，在很多情况下，这次优惠券的领取上限似乎没有设定。 另外，这张优惠券不是以前传来的“收购”设定，而是随便领取。 这直接引起很多官方口径的“数千万元”的资本损失。

其次，无门槛优惠券可以兑换虚拟商品。

EC平台刘昕(化名)告诉“中国公司家”，一般来说，没有门槛的优惠券不能兑换虚拟产品(包括话费、Q币、游戏积分卡等)和金银等贵金属投资品。 从各平台的现实情况来看，会场通用的优惠券一般都有“虚拟商品除外”的表述。

虚拟商品交易是互联网黑产的惯用洗钱方法，因此受到各大EC平台的重视，优惠券的采用范围有严格的限制。 另外，虚拟商品的兑换也被禁止，也方便黑生产身份的追踪。 毕竟现货商品需要邮寄地址。

在这次的事情上，很多优惠券也可以无障碍地交换上述虚拟商品。 在采访过程中，很多工作者对此感到吃惊。

最后，无门槛优惠券的金额为什么这么大？

和普通的满员优惠券不同，没有门槛的优惠券的金额一般不大。 特别是能兑换假货优惠券的，一位数的金额很多。 在京东和淘宝等平台上，费用优惠券通常在5元以下。

这次很多优惠券的面值是100元，这样没有大门槛的优惠券不是一般的类型。 特别是考虑到没有上限的收货数，在设计、测试、在线、风控制等许多过程中应该有严格的安全对策和错误的警告和解决方案。

对数量仅次于蚂蚁和京东的大型电机制造商来说，这次的优惠券肯定会影响技术和安全声誉。

“拔掉羊毛”的客户怎么办？

另一个受到广泛关注的问题是什么样的“玫瑰羊毛”的普通顾客应该如何解决。 目前，平台方面对此没有进一步证明。

与涉嫌违法犯罪的网络黑产不同，“玫瑰羊毛”行为在网络用户之间很常见。 到目前为止其他企业也遇到了同样的脆弱性，通常，在确认平台的员工错误的同时损失较少的情况下，选择自己负担。

年12月31日，腾讯视频暴露过系统bug，顾客只要支付0.2元就能得到20元的视频会员，同时同一账户可以多次购买。 这个漏洞发生30分钟后，腾讯发现并关闭了，尽管如此，仍有39万名顾客参加，生成订单287万件，通过简单的计算可知腾讯视频因这个损失超过了5600万元的会员费。

年1月5日，最终调查结束后，腾讯视频宣布这个问题是由员工错误引起的，顾客购买的异常订单，腾讯全部兑现，不再支付费用。

但是，从2019年1月1日开始正式施行的电子商务法第49条有以下规定。

在电子商务公司发表的商品或服务新闻符合申请条件的情况下，客户选择该商品或服务，提交订单成功，合同成立。 当事人另有约定的，从该约定开始。

电子商务经营者在约定用样式条款等方法支付货款后，不得约定合同不成立。 如果样式条款等包含此副本，则副本无效。

参照许多“许多服务合同”，您会发现“客户规范”下包含“禁止采用许多平台的插件”和/或利用许多平台的错误获得非法好处”的承诺副本

上海大邦律师事务所高级合作伙伴游云庭对“中国公司家”表示，从现在公开的新闻来看，这不是刑事事件，而是平台自身的产品设计问题，如果需要维权，而不是黑客攻击。

根据《民法通则》，重大误解是指一方当事人因自己的过失误解了合同的复印件等而签订了合同。 严重的误解行为在法律上是可撤销的行为，但通常行使撤销权需要法院进行。

实际上，法院为了保护交易安全，对“重大误解”的案件判决非常谨慎，如果是一二百元的小额事情，就不会轻易做出判决。

游云庭认为，如果顾客不采用优惠券，通常禁止其采用是没有问题的，但如果顾客消费优惠券，很多企业、中国移动、腾讯等企业在法院判决前应该直接冻结相关交易

网络黑产的亡灵不发泄吗？

事情还没有结束。

作为美股上市公司，有必要在本季度的财务报告中公开这次脆弱性带来的实际损失数据。 优惠券用于平台自营商品时，需要在财务报告书中作为销售价格计算，如果是优惠券顾客的第三方商户，则需要作为营销价格计算。

财务报告显示，年第三季度，多数收益为33.72亿元，归属于普通股股东的净亏损为10.98亿元。 从这个数据来看，如果这次事件最终造成数千万元的损失的话，影响很小。

与至今为止的腾讯视频和东航等企业的bug不同，这次的拼写表明网络的黑产势力参与了。

利用企业商业漏洞进行违规操作在互联网黑生产行为中所占的比例不小。

根据腾讯向“中国公司家”安全提示的数据，截至年底，腾讯综合安全服务平台受理的客户比较有效的通报超过1247万次，受理通报打击最多的类型是欺诈，其次是黄赌毒，第三

对p2p和电子商务等领域来说，与互联网黑产的斗争长期以来是很多繁杂的工程，各企业特别是大型企业非常重视，应该有比较完善的应对流程，很多努力也充分准备好了。

这次事件揭示的许多谜团有必要公开和揭示越来越多的新消息。

全天候滚动播放最新的财经信息和视频，越来越多的粉丝福利扫描二维码备受关注( finance )。