拼多多现重大漏洞，一夜薅走数千万！

问号？

1月20日凌晨，根据网友反映，拼多多被爆出重大Bug，100元无门槛券用户随便领，据说有人领了上千张100元无门槛券，一晚上总交易额达338亿元，其中263亿都是话费充值，有人更是褥了几十万Q币。

拼多多一夜被薅200亿？
官方人士回应：被盗取数千万元优惠券
1月20日凌晨开始，网购平台拼多多忽然被曝出现重大bug……
用户可以领取100元无门槛优惠券，据页面显示，有效期一年，且全场通用。

一些职业羊毛党发现这点后，

开始叫上身边的朋友一起去重复领取。


一夜间众多网友纷纷选择充话费或Q币等……


有网友甚至晒出截图，表示自己账户内有超过50万Q币余额。网上更是流传的损失数字是超过200亿元，甚至有网友担心“拼多多会不会一夜倒闭”。

十几万Q币啊，
尊贵的赤橙黄绿青蓝紫钻贵族够我当一辈子的。

对于上述消息，拼多多官方人士向21世纪经济报道记者表示，1月20日晨，有黑灰产团伙通过一个过期的优惠券漏洞，盗取数千万元平台优惠券，进行不正当牟利。网络流传的截图均为伪造，具体的数额不便透露。
该官方人士称：
“针对此行为，平台已第一时间修复漏洞，并正对涉事订单进行溯源追踪。同时我们已向公安机关报案，并将积极配合相关部门，对涉事黑灰产团伙予以打击。”
1月20日上午9点，拼多多已将相关优惠券全部下架。
羊毛党的威力远超过你的想象
羊毛党早已成为一个专门的“职业”。他们有着许多分享薅羊毛线报的QQ和微信群，一旦有消息放出，他们便会蜂拥而至。
羊毛党像极了一群蚂蚁围上，把一个巨大的生物啃噬精光。
他们有专业的设备和工具：

• 恶意账号注册团伙通过控制肉鸡、虚假身份、软件脚本等手段批量注册账号，使得出现大量虚假流量；
  
• 通过撞库、拖库、盗号等手段盗取用户账号信息；
  
• 在营销活动中，羊毛党通过控制批量账号、刷奖软件等手段刷取活动奖励，造成平台营销资源损失。
  

也就是说，普通人薅羊毛是手动点击，一次一次进行的。这种薅羊毛的方式威力有限。
真正的黑产羊毛党，他们通过使用专门的脚本软件、手机群控系统、构建猫池等等方法和手段，使用机器进行大量的重复工作。
而这群依附与互联网企业，靠吸取企业“血肉“为生的黑产羊毛党，才是真正的威胁。

• 脚本软件：运行代码来完成重复性的工作。如点击，领取等动作；
  
• 猫池：通过猫池注册需要绑定手机号码的账号，绕过一个账号只能领取一张优惠券的规定；
  
• 手机群控系统：用一台电脑能控制多部手机完成操作。
  

猫池

手机群控系统

无论是网站还是银行，发起促销活动的一方自然是痛恨羊毛党的，对于普通用户来说，这些羊毛党会挤占自己的优惠名额，因此羊毛党也不受待见。
我们该怎么做？
无知者无畏，安全问题之所以特殊，就在于它如果不发生，我们也许永远不知道问题的存在，当然也不知道问题有多严重。每一次安全危机，都不应该被浪费。如果我们是当事人，有哪些办法可以避免类似的事故呢？
最紧急的事情，就是赶快把账户安全的债给还了。要不然，经过这一次的传播，一大堆的眼睛看好了这块肥肉。黑客攻击的下一波，也许已经在路上了。
接下来，要尽快考虑下面的几件事情。
第一件要做的事情，就是规范研发流程。一流的软件研发流程下出品的产品，再差也不会差到哪儿去。在这个研发流程里，程序员不能单枪匹马地蛮干。需求要讨论，设计要预览，功能要审核，代码要评审，软件要测试，系统要试运营。人人都会犯错误，每一个环节，多几双眼睛盯着，就大幅度减少了犯错误的几率。程序员也能通过研发的流程快速成长，进一步降低错误发生的几率。一个好的制度，可以成就人；一个坏的制度，可以糟蹋人。
第二件要做的事情，代码的安全要重视起来。代码的安全，不都是指黑客入侵。这个无门槛券的领用，就是一个严重的安全事故。反映到代码层面，可能就是账户管理不安全，商业逻辑没有校验，运维授权管理散漫，异常风险没有及时预警。
第三件要做的事情，商业设计要预先推演。即使没有黑客黑产，1000 亿人民币无门槛优惠券，也不是任何一家商业机构愿意支付的成本。这是一个幼稚园水平的错误。 如果商业逻辑不成立，也就意味着有缺陷的软件需求。建立在漏洞百出的需求上的软件，也会是漏洞百出的。
第四件要做的事情，改进产品上线的机制。设置产品上线的检查点和流水线，任何一个检查点失效，流水线都要中断，产品都不能上线。这些检查点包括产品的试运营、功能的审批、配套的监控措施等等。
第五件要做的事情，提高运维的风险防范能力。一个有着 3 亿用户，230 亿美元市值，经营电子商务的公司，是黑客眼里的肥肉。尤其是用户隐私信息和现金流，关系到企业的生死存亡。这种体量的公司，具有优秀的风险防范能力是最基本的要求，而不是锦上添花的东西。风险的主动检测、及时预警、快速应对，这些措施都要跟得上。
如果无门槛券的商业设计经过推演，软件功能经过讨论，实现代码经过评审，上线经过预演，事故能够及时预警，只要其中的任何一个环节发挥了作用，这次事故都不会这么惨烈。
出现问题之前，你永远也不知道代码质量有多重要。
版权问题、业务合作、