拼多多回应领取无门槛券Bug：有黑灰产团伙不正当牟利 已报警

1月20日凌晨，拼多多被曝出现重大Bug，用户可领100元无门槛券，且并非抢购，而是无门槛领取，优惠券可全场通用（特殊商品除外），有效期一年

凌晨Bug被发现后，大批用户涌入拼多多开始大力“薅羊毛”，短时间内即有用户通过优惠券充值上万元话费、囤积数十万Q币。

粗略估计下来，拼多多的这一重大Bug有可能在一夜之间给公司带来200亿元的损失。

随着事件发酵，拼多多在今天上午9点左右把100元无门槛优惠券的领取方式全部下架，之前领到未使用的优惠券也全部下架。

但是根据翻阅拼多多官方微博发现，评论区已出现大量用户的“声讨”。

今天中午，拼多多官方发布声明，称有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券，进行不正当牟利。针对此行为，平台已第一时间修复漏洞，并正对涉事订单进行溯源追踪，同时已向公安机关报案。

另外，拼多多对“因为灰黑产被薅走200亿”的信息给予了否认。拼多多发言人表示，实际最终资损或低于千万元。

01

4毛钱充值百元话费

根据上游新闻报道，这起优惠券Bug从凌晨被发现后，有人在专门的微信群发布了相关信息，主要集中购买了话费、Q币、航天钞等虚拟商品，以五折或者更低的价格进行购买。

除了话费充值，网友还购买了Q币、航天钞、油卡等保值商品，有网友还通过重复注册账号的形式，多次反复领取了拼多多的百元优惠券，有未经证实的截图显示，有网友在1月20日当天充值了5万多元的Q币和3万多元的话费。

有拼多多商家群的聊天记录显示，拼多多工作人员要求对使用了百元优惠券的订单暂停发货。

有法律人士对上游新闻记者表示，在“合理自用”范围内，普通用户使用拼多多的这一Bug优惠券，从法律实践来说，因为现在电商促销较多，法律上应该会认定为拼多多的促销。但对于重复注册账号、使用网络漏洞等方式来使用这一优惠券的，如果证据确实，恐会涉及不当得利乃至非法侵入计算机系统等刑事罪名。

有安全专家指出，一般情况下，优惠券会设立领取门槛，结合登陆IP、账号等，以此来避免羊毛党利用虚拟设备批量“薄羊毛”。而拼多多事件并未涉及虚拟设备，大量用户都是使用常规设备领取并完成交易，直接原因可能是平台的风控体系欠缺且能力不足所致。

实际上，在电商平台上类似的Bug并不少见。

在2018年4月底，小米旗下的米家有品商城出现了价格BUG，原价599元的商品只需要0.01元就可购买，消息传开后引发网友第一时间疯狂抢购。据悉，有网友一次下单了20台，仅用了0.2元。

最终，米家有品官方发布了解决方案：原有价格无法发货，将取消订单，并赠送优惠券。

在2018年11月中旬，又有网友投诉称，在双11期间用梦洁天猫旗舰店发放的满减优惠劵消费后，商家迟迟不发货。梦洁售后则解释称“优惠券是系统错误所致”。

02

网络黑灰产已近千亿规模

据南都大数据研究院等机构发布的《2018网络黑灰产治理研究报告》估算，2017年我国网络安全产业规模为450多亿元，而黑灰产已达近千亿元规模；全年因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元，而且电信诈骗案每年以20%~30%的速度在增长。

该报告还指出，黑灰产共有四种类型：

虚假账号注册等源头性黑灰产；

用于进行非法交易、交流的平台；

木马植入、钓鱼网站、各类恶意软件等；

大多以恶意注册、虚假认证、盗号等形式实现的网络黑账号。

2018年，活跃的专业技术黑灰产平台多达数百个。而根据《2018网络黑灰产治理研究报告》显示，网络黑灰产从业人员主力日趋年轻化。

以诈骗类黑灰产为例，黑灰产从业人员以26岁至30岁为主，不同类型的诈骗形式分布在全国不同地域，具有明显的聚集性特征。

从年龄分布看，21岁到30岁占比45.3%，其次是11岁至20岁，占比17.02%，31岁到40岁占比15.69%；从性别分布看，男性占比68%，女性占比32%；从区域分布看，排名前三省份分别是广东、江苏和浙江，占比分别为18.58%、5.93%、5.82%。

而网络黑灰产犯罪案件中受害者年龄段分布数据显示，18岁-25岁年龄段在整个受害者年龄段中占比最高，接近60%；其次是26-30岁年龄段，占比20%。可以归纳出，90后成为网络黑灰产主要受害群体。

此外，从地域分布上来看，受害群体主要集中在广东、江苏、河南、湖南、福建、湖北等地。

03

打击网络黑产涉案金额超110亿元

近日，腾讯守护者计划正式公布了“守护者计划2018十大案件”。

2018年，腾讯守护者计划协助公安机关开展各类网络黑灰产打击行动，协助各地公安机关共计破获案件145件，抓获人员超过3200人，涉案金额超过110亿元。

在守护者计划公布的2018十大案件中，全国首例针对“解析盗链”盗版侵权的刑事打击案例“酷视界聚合解析APP视频盗播案”、 国内最大的微信协议外挂案“鹈鹕公司威胁协议外挂案”、 全国首例对区块链挖矿黑产进行刑事打击的案例“区块链数字货币挖矿木马案”、互联网广告行业新型诈骗首例刑事打击案件“广告平台作弊黑产诈骗案”等都属于利用新型技术的科技型犯罪，“区块链”“木马”“软件协议破解”成为关键词。

面对打击网络黑产的新挑战，腾讯守护者计划安全团队持续增强技术实力，联合拥有全球顶尖白帽黑客的腾讯安全联合实验室共同与不法黑产分子展开技术对抗，通过在AI、大数据、云计算等领域的技术优势持续为警方提供支持，助力警方接连破获此类罪案，打击震慑了犯罪分子，保护了群众财产和隐私安全，维护了正常网络秩序。

不仅如此，过去的一年里，守护者计划安全团队加强了对网络黑产链条的研究与分析，协助警方摸清网络犯罪的全部环节，最终从源头上进行打击。

在“辽宁恶意注册全链条打击系列专案”中， 守护者团队协助警方进行了对“恶意注册软件作者-恶意注册团伙-接码平台团伙-诈骗团伙”的全链条打击，也是全国首个对恶意注册黑产的刑事打击案例，有效减少了下游仿冒欺诈团伙的作案数量。

此外，2017年至2018年，阿里巴巴安全部配合全国各地执法机关破获各类涉黑灰产案件8022起，公安机关抓获1000余黑灰产犯罪团伙共6799名犯罪嫌疑人。

在阿里庞大的生态体系内，网络黑灰产每天都会发起17亿次的恶意访问，试图窃取数据，仅在淘宝平台，每天会有近400万次恶意尝试登录。

而阿里安全在用技术与网络黑灰产长期对抗过程中，也因此积累了丰富经验，并用技术协助各界解决黑灰产等社会问题。

（以上部分内容综合整理自上游新闻、东方财富网、中国青年报等）