作者:司马子羽
1月20日凌晨,拼多多出现大羊毛:任意账户可以领百元无门槛券,这个券可以在拼多多全场抵扣使用。该漏洞一直持续到上午十点左右才被堵上,不少网民用百元券充值的话费和Q币已到账。
业内人士估计,此次漏洞,拼多多损失可能超过千万。黑奇士羊毛群里大概九点半左右出现线报,但此时这场羊毛党狂欢已经接近尾声。
在某赚客论坛上,不少羊毛党纷纷晒出自己的战绩,一半以上都撸了500元以上的话费或Q币,其中大部分人撸的虚拟物品已到账。
但有网友也在论坛发布聊天截图,拼多多已经今日凌晨向入驻商家发布紧急通知,百元券不能用来抵扣商品,如果是网友购买的实物商品,建议终止物流派送。
有传闻说,在此次漏洞中,有羊毛大佬撸了几十万话费,足够买一辆宝马5系,其金额已经构成“进去”的标准。为了避免受到法律惩罚,大佬才在论坛上发布线报,构成“法不责众”的情况。黑奇士无法证实或证伪此说法。
本次漏洞造成至少数百万元损失,如果羊毛党用券购买商品,拼多多会给入驻商家正常结算,还是双方按照什么比例来分担损失,目前没有确定的消息。
黑奇士采访的安全人士指出,这次漏洞明显是拼多多的风控能力不足导致。如果按照正常的活动流程,百元券需要设立领取门槛,结合设备指纹、登陆IP、账号等级等,给定一个领取概率,以此来避免羊毛党利用虚拟设备、手机牧场来批量囤积优惠券。
但从实际情况看,显然拼多多的风控不过关。
发稿之前,黑奇士看到拼多多官方服务号发布公告:系统出现漏洞,误发的百元券已被回收,拼多多官方给用户补偿一张5元券,有效期为50年。
有人在微信群里晒出截图,疑似拼多多公关的人在跟撸羊毛大佬沟通,希望其返回撸的Q币,否则充值的QQ号码可能会被回收。
拼多多对此事发布声明,称有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已向公安机关报案。