拼多多回应：“优惠券漏洞”实为线下互动券遭黑灰产批量盗取

图片来源：摄图网

每经记者 张斯 实习编辑 王丽娜

　　2019年刚开年，拼多多就经历了黑色星期天。这次薅羊毛事件是否属于平台系统严重漏洞？损失金额如传说中的超过2亿元？以及平台是否为了止损冻结用户订单？1月21日，拼多多针对昨日“优惠券漏洞”事件发布情况说明，并依次回应。

　　事件发生时正值拼多多“年货节”大促，期间有大批量平台正常发放的优惠券被消耗。至20日上午9点，遭盗取优惠券和正常优惠券的总和突破平台预设阈值，系统监控到异常并自动报警后，拼多多在第一时间修复了相关漏洞。

　　黑灰产重启封存优惠券

　　关于此次事件的核心问题，即事件是如何发生的，拼多多表示，黑灰产团伙所利用的“优惠券漏洞”盗取的相关优惠券，系拼多多此前与一档电视节目（江苏卫视《非诚勿扰》）开展合作时，因节目录制需要特殊生成的优惠券类型，仅供现场嘉宾使用。除此之外，此种类型优惠券，从未在任何时候、以任何方式出现在平台正常的线上促销活动当中，甚至从未有任何线上入口，这与“某航空公司在官网由于误操作发放低价机票”等事件具有根本性质差异。

　　而该事件中的相关优惠券，均系黑灰产团伙通过非正常途径生成的二维码扫码后获得，该二维码多流传于社交平台相关黑灰产群。拼多多从未针对该类型优惠券生成任何二维码，更从未在APP及小程序中展示过此类优惠券相关信息及二维码。该二维码具体的生成及传播过程，正待警方调查后获得最终结论。

　　黑灰产是如何运作的？

　　在相关说明中，拼多多透露，黑灰产通过该非正常途径生成的二维码，原本每个认证信息的用户可且仅可领取一张无门槛100元优惠券，而非此前网络流传的单个ID可以“无限领取”。

　　因此，有黑灰产团伙通过“养猫池”（用手机卡蓄养大量虚拟账号）等不法手段，实现N张手机黑卡同时作业，批量盗取该种优惠券，并通过手机话费、Q币等虚拟充值的方式，试图在短时间内迅速转移此类不当所得。

　　而对于本次重大漏洞，网传“拼多多200亿元资损谣言”，拼多多给予辟谣，实际损失涉案优惠券总金额达数千万元。此外，期间广为流传的“数十万Q币”、“公关部多多哥”、“脉脉网鹿杖客”等相关截图，经查均系不实谣言。

　　拼多多风控团队负责人表示，黑灰产团伙在盗取金额巨大的优惠券并转移其不当所得后，期望达成“法不责众”的效果，迅速通过网络和社交群将二维码分享出去，诱导一些普通消费者跟风扫码，并在社交平台和群内编造“拼多多平台发券损失200亿等谣言”，以希望达到逃避刑责、混淆视听的结果。

　　冻结订单主要是警方取证行为

　　在拼多多看来，该事件与此前某航、某电商平台等一系列因bug所致资损事件存在本质差别，前者为平台错误操作、非正常发放所致的民事问题，此次拼多多优惠券事件则为“套券诈骗”的网络诈骗案件。打个比方后者类似于犯罪团伙撬开家门实施盗窃之后自己也有些害怕，打开大门招呼更多普通路人进入受害者家中搬取。如按照网络中前者被以“ATM机误吐钞”现象做类比，后者则相当于非法团伙撬开ATM机后实施盗窃。

　　事件发生后，拼多多迅速向公安机关报案。目前公安机关正在调查过程中，因涉案金额巨大，预计将会对涉嫌套券诈骗、牟取巨额不当利益的涉事黑灰产团伙追究刑事责任。

　　据了解，针对该事件，目前上海警方已以“网络诈骗”的罪名立案并成立专案组，并依据“财产保全”的相关规定，对涉事订单进行批量冻结。拼多多平台正配合警方，对涉事订单进行溯源追踪，并最终依据警方的调查结果对相关订单做出依法依规处理。

　　本次事件不涉及任何数据安全问题，平台消费者原本正常领取的优惠券使用不会受到影响。为进一步加强“特殊优惠券”相关风控体系，拼多多已成立技术专组。

　　此外，拼多多平台期间及后续的正常订单，均不会受此事件影响。为充分保障正常参与平台各项活动的消费者的利益，在“年货节”和“春节不打烊”活动期间，拼多多将追加一亿元年货红包津贴，向平台消费者进行发放。