设为首页
收藏本站
开启辅助访问
切换到窄版
用户名
UID
Email
自动登录
找回密码
密码
登录
立即注册
快捷导航
门户
Portal
论坛
BBS
搜索
搜索
本版
文章
帖子
用户
匠说电商
»
论坛
›
国内电商运营
›
拼多多运营
›
拼多多现重大漏洞,一夜薅走数千万!
返回列表
查看:
1180
|
回复:
0
拼多多现重大漏洞,一夜薅走数千万!
[复制链接]
问号?
问号?
当前离线
积分
4
248
主题
248
帖子
4
积分
新手上路
新手上路, 积分 4, 距离下一级还需 46 积分
新手上路, 积分 4, 距离下一级还需 46 积分
积分
4
发消息
发表于 2019-1-22 01:35:25
|
显示全部楼层
|
阅读模式
1月20日凌晨,根据网友反映,
拼多多被爆出重大Bug,100元无门槛券用户随便领
,据说有人领了上千张100元无门槛券,一晚上总交易额达338亿元,其中263亿都是话费充值,有人更是褥了几十万Q币。
拼多多一夜被薅200亿?
官方人士回应:被盗取数千万元优惠券
1月20日凌晨开始,网购平台拼多多忽然被曝出现重大bug……
用户可以领取100元无门槛优惠券,据页面显示,有效期一年,且全场通用。
一些职业羊毛党发现这点后,
开始叫上身边的朋友一起去重复领取。
一夜间众多网友纷纷选择充话费或Q币等……
有网友甚至晒出截图,表示自己账户内有超过50万Q币余额。网上更是流传的损失数字是超过200亿元,甚至有网友担心“拼多多会不会一夜倒闭”。
十几万Q币啊,
尊贵的赤橙黄绿青蓝紫钻贵族够我当一辈子的。
对于上述消息,拼多多官方人士向21世纪经济报道记者表示,1月20日晨,有黑灰产团伙通过一个过期的优惠券漏洞,盗取数千万元平台优惠券,进行不正当牟利。网络流传的截图均为伪造,具体的数额不便透露。
该官方人士称:
“针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时我们已向公安机关报案,并将积极配合相关部门,对涉事黑灰产团伙予以打击。”
1月20日上午9点,拼多多已将相关优惠券全部下架。
羊毛党的威力远超过你的想象
羊毛党早已成为一个专门的“职业”。他们有着许多分享薅羊毛线报的QQ和微信群,一旦有消息放出,他们便会蜂拥而至。
羊毛党像极了一群蚂蚁围上,把一个巨大的生物啃噬精光。
他们有专业的设备和工具:
恶意账号注册团伙通过控制肉鸡、虚假身份、软件脚本等手段批量注册账号,使得出现大量虚假流量;
通过撞库、拖库、盗号等手段盗取用户账号信息;
在营销活动中,羊毛党通过控制批量账号、刷奖软件等手段刷取活动奖励,造成平台营销资源损失。
也就是说,普通人薅羊毛是手动点击,一次一次进行的。这种薅羊毛的方式威力有限。
真正的黑产羊毛党,他们通过使用专门的脚本软件、手机群控系统、构建猫池等等方法和手段,使用机器进行大量的重复工作。
而这群依附与互联网企业,靠吸取企业“血肉“为生的黑产羊毛党,才是真正的威胁。
脚本软件:运行代码来完成重复性的工作。如点击,领取等动作;
猫池:通过猫池注册需要绑定手机号码的账号,绕过一个账号只能领取一张优惠券的规定;
手机群控系统:用一台电脑能控制多部手机完成操作。
猫池
手机群控系统
无论是网站还是银行,发起促销活动的一方自然是痛恨羊毛党的,对于普通用户来说,这些羊毛党会挤占自己的优惠名额,因此羊毛党也不受待见。
我们该怎么做?
无知者无畏,安全问题之所以特殊,就在于它如果不发生,我们也许永远不知道问题的存在,当然也不知道问题有多严重。每一次安全危机,都不应该被浪费。如果我们是当事人,有哪些办法可以避免类似的事故呢?
最紧急的事情,就是赶快把账户安全的债给还了。要不然,经过这一次的传播,一大堆的眼睛看好了这块肥肉。黑客攻击的下一波,也许已经在路上了。
接下来,要尽快考虑下面的几件事情。
第一件要做的事情,就是规范研发流程。
一流的软件研发流程下出品的产品,再差也不会差到哪儿去。在这个研发流程里,程序员不能单枪匹马地蛮干。需求要讨论,设计要预览,功能要审核,代码要评审,软件要测试,系统要试运营。人人都会犯错误,每一个环节,多几双眼睛盯着,就大幅度减少了犯错误的几率。程序员也能通过研发的流程快速成长,进一步降低错误发生的几率。一个好的制度,可以成就人;一个坏的制度,可以糟蹋人。
第二件要做的事情,代码的安全要重视起来。
代码的安全,不都是指黑客入侵。这个无门槛券的领用,就是一个严重的安全事故。反映到代码层面,可能就是账户管理不安全,商业逻辑没有校验,运维授权管理散漫,异常风险没有及时预警。
第三件要做的事情,商业设计要预先推演。
即使没有黑客黑产,1000 亿人民币无门槛优惠券,也不是任何一家商业机构愿意支付的成本。这是一个幼稚园水平的错误。 如果商业逻辑不成立,也就意味着有缺陷的软件需求。建立在漏洞百出的需求上的软件,也会是漏洞百出的。
第四件要做的事情,改进产品上线的机制。
设置产品上线的检查点和流水线,任何一个检查点失效,流水线都要中断,产品都不能上线。这些检查点包括产品的试运营、功能的审批、配套的监控措施等等。
第五件要做的事情,提高运维的风险防范能力。
一个有着 3 亿用户,230 亿美元市值,经营电子商务的公司,是黑客眼里的肥肉。尤其是用户隐私信息和现金流,关系到企业的生死存亡。这种体量的公司,具有优秀的风险防范能力是最基本的要求,而不是锦上添花的东西。风险的主动检测、及时预警、快速应对,这些措施都要跟得上。
如果无门槛券的商业设计经过推演,软件功能经过讨论,实现代码经过评审,上线经过预演,事故能够及时预警,只要其中的任何一个环节发挥了作用,这次事故都不会这么惨烈。
出现问题之前,你永远也不知道代码质量有多重要。
版权问题、业务合作、
一个
,
软件
,
羊毛党
相关帖子
•
创业淘宝的武林“秘籍”
•
跃洋州解析:跨境电商Shopee平台为什么要用ERP?
•
淘宝网店创意主图的制作要素
•
1688上如何识别优质供应商,淘宝卖家:分享5个专业网店拿货平台 ...
•
如何避免虾皮shopee账号关联?IP相同导致关联如何解决? ...
•
「电商运营」如何针对类目制定店铺运营计划
•
如何玩转拼多多,关于拼多多的一些运营方式方法!
•
拼多多一拖多无痕玩法运营干货
•
我和我的亚马逊运营大姐姐
•
拼多多运营趋势简单分析
回复
使用道具
举报
返回列表
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
手机版
|
小黑屋
|
匠说电商
快速回复
返回顶部
返回列表