拼多多现重大Bug,一晚被薅羊毛数千万!

临到要发年终奖的时候,出这么大的 bug,哎……

2019 年 1 月 20 日

拼多多现重大Bug,一晚被薅羊毛数千万!

临到要发年终奖的时候,出这么大的 bug,哎……


事件回溯


今日消息,微博爆料称拼多多出现重大 Bug:100 无门槛券随便领,据说一晚上被人薅了 200 多亿!



从网友晒出的图片看,此次 100 元无门槛券全场通用(特殊商品除外),有效期一年。有网友表示,凌晨 3 点多被同行“喊醒”,让来拼多多“薅羊毛”,“只需支付 4 毛钱,就可以充值 100 元话费”。



于是,大量网友上线以此方式充值。从截图上看,有网友一晚上充值中国移动百余次,每次为 100 元,花费 0.4 元。


值得一提的是,之前领到未使用的优惠券也被全部下架。这引发部分常规用户的不满,大量网友在拼多多官微质问:“100 元优惠券为什么不能用了?”


脉脉职言区疑似出现当事程序员回应:自己连带部门的年终奖都没了。


最新消息,该回应为有心人假冒拼多多员工发布,已被辟谣。



拼多多回应


1 月 20 日晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。



“随着事情的发酵,拼多多在 20 号九点左右把优惠券领取方式全部下架,之前领到未用的也全部下架,来减小损失。”


电商平台的那些 bug


事实上,类似的电商平台 bug 先例不在少数。


比如 2018 年,魅族官方预告了一款新品,并为粉丝送出了福利,前 100 名预购的朋友可享受福利价,只需要 0.5 元就可以购买,先到先得。但发售后发现,近千人下单金额都是 0.5 元,最后魅族官方发现 bug 并修复。官方也对此事进行了回应,他们表示,对于已经下单成功的用户,魅族将正常发货,且货品和正品无异,至于相关售后问题,用户可正常享有魅族商城的售后服务。


类似事件也有不少,一般都是电商平台自掏腰包打落牙齿和血吞。


薅羊毛背后的网络黑产


黑产的现状及常用的盈利手段是什么?


这里给出三个数字:


  • 第一个数字是 150 万,这是 2017 年网络安全生态峰会上评估出的黑产从业人员的人数。跟这个人数相比,目前业界顶尖公司中安全从业人员最多不过千余人,与黑产对比可谓凤毛麟角。

  • 第二个数字是千亿,这是网络安全生态峰会上评估的黑产年产值。根据 2017 年的腾讯阿里两家巨头的财报,两家公司净利润总和接近千亿元,黑产的年产值基本可以与这两家巨头公司并驾齐驱。

  • 第三个是 20%,这是根据我们之前经验评估的营销活动的资损率。举例来说比如要做一个新注册的拉新活动,投了 100 万去吸引用户,最后会发现至少有 20 万会进入到黑产的口袋里。


黑产的盈利场景是什么?


  • 第一种是撞库,就是把其他平台泄露的一些用户名和密码,不停地拿到另外一些平台上去试,如果登录成功之后首先会窃取账号内的资产信息,之后会使用窃取的账号去做一些薅羊毛等相关的事情。

  • 第二种是垃圾注册,黑产要盈利必须要有海量的帐号,黑产会注册成千上万个小号来为后续的活动进行准备,这是万恶之源。


为了抵御黑产,各家公司都会有自己专门的风控团队,使用各种各样的技术手段去进行对抗。如果你对抵御黑产,保护代码的技术内容感兴趣,可以阅读这篇文章:别动我的代码!聊聊那些代码保护的艺术


2019 年 1 月 20 日 17:247862
用户头像
小智 InfoQ 主编

发布了 395 篇内容, 共 306.8 次阅读, 收获喜欢 1709 次。

关注

评论

发布
暂无评论
发现更多内容

MyBatis之启动分析(一)

ytao

mybatis Java 面试

一文让你快速上手 Mockito 单元测试框架

mghio

Java spring 单元测试 Mockito

ArrayList浅析

章小传

Java collection 原理 ArrayList

【译文】为什么说Rust是机器人技术的未来

袁承兴

rust 机器人 嵌入式

分布式事务 - 三种常见的解决方案

Java收录阁

分布式事务

如何挑选一份工作

池建强

求职 找工作

产品的本质,知道却看不到

Neco.W

产品 产品经理 需求 产品开发

OFD版式技术解析系列(一):开篇

华宇法律科技

女朋友跟我吐槽Java中ArrayList遍历时删除元素的各种姿势

NotFound9

Java 架构 面试 编程语言 后端

自定义 SpringBootStarter

lee

普通二本,毕业三年,北漂之后,我是怎么成为程序猿的。

why技术

个人成长 程序人生 随笔杂谈 北漂

浅谈敏捷开发中的设计

czjczk

敏捷开发

CSS Tricks网站创始人作序推荐,这本书助你成为Web开发高手

图灵社区

CSS Web 开发 设计思维

SpringCloud-OpenFeign源码

云淡风轻

Spring Cloud

一周信创舆情观察(5.25~5.31)

统小信uos

基础软件 操作系统 新基建

读懂才会用 : 带你见识 Redis 的 zset

小眼睛聊技术

redis 学习 程序员 架构 redis6.0.0

Kafka的生产者优秀架构设计

奈学教育

kafka 分布式

JUC整理笔记五之梳理Varhandle(下)

JFound

Java

计算机超全核心技术知识

cxuan

后端 计算机基础

我的个人知识管理方法

lidaobing

个人成长 知识管理 PKM

JDK 15 都发布了,可 Java 8 依然是最爱

古时的风筝

Java Java 25 周年 Java版本

大话设计模式 | 0 面向对象基础

Puran

C# 设计模式

原创 | TDD工具集:JUnit、AssertJ和Mockito (十六)编写测试-有条件执行测试

编程道与术

Java 编程 TDD 单元测试 JUnit

JAVA后端学习路线

敖丙

Java 学习 程序员 Java25周年

Sula - 可能是西湖区最好用的antd配置框架

开远

前端开发 antd sula 配置化开发 前端框架

GitHub上10个不可错过的另类有趣项目

码农神说

GitHub 程序员人生 开源项目

科学提升认知方法之贝叶斯公式

奈学教育

贝叶斯公式

Mobaxterm (安装 、汉化、使用)入门教程

Geek_Offset

分享一份阿里架构师 651 多个技术分支的脑图

奈学教育

大数据

如何更好的交谈(以英语为例)

七镜花园-董一凡

学习 生活

2020年6月3日 对象与类

瑞克与莫迪

拼多多现重大Bug,一晚被薅羊毛数千万!-InfoQ