拼多多稱警方已以“網絡詐騙”的罪名立案，律師表示可能涉嫌盜竊罪。

一個過期的優(yōu)惠券漏洞，可能引發(fā)國內資損規(guī)模最大的黑灰產事件。

1月20日凌晨，有網友稱拼多多存在重大Bug，“只需支付4毛錢，就可以充值100元話費”“有大批用戶開始薅羊毛，一晚上200多億都是話費充值”。根據(jù)網友曬出的截圖，此次拼多多的100元無門檻券全場通用（特殊商品除外），有效期為一年。

拼多多方面表示，當日凌晨有黑灰產團伙通過一個過期的優(yōu)惠券漏洞盜取數(shù)千萬元平臺優(yōu)惠券，進行不正當牟利。

針對該事件，拼多多稱目前上海警方已以“網絡詐騙”的罪名立案并成立專案組，并依據(jù)“財產保全”的相關規(guī)定，對涉事訂單進行批量凍結。拼多多平臺正配合警方，對涉事訂單進行溯源追蹤，并最終依據(jù)警方的調查結果對相關訂單做出依法依規(guī)處理。

對于損失高達200億的說法，拼多多回應稱這一數(shù)字不實。拼多多稱黑灰產團伙大量盜取優(yōu)惠券，涉案總金額達數(shù)千萬元，預計本次事件造成的最終實際資損大概率低于千萬元。

1月20日上午9點5分，小南在自己的“閨蜜群”里收到一條鏈接，閨蜜告訴她，只要點擊這個鏈接，就可以領取拼多多的100元優(yōu)惠券。

“我以為就是一般的促銷或者拉新優(yōu)惠活動，就下載了拼多多App，選來選去，訂了一個一直想買的智能音響?！毙∧细嬖V記者，她領取的這個優(yōu)惠券是“無門檻，一年有效期”。

“這個鏈接是我的室友在她的朋友群里看到的，然后再轉發(fā)到我們閨蜜群里。后來看到網上的熱搜，我才知道自己的行為可能涉及薅羊毛?！毙∧媳硎?，“1月20日上午10點20分，我用優(yōu)惠券購買的商品就已經聯(lián)系了順豐快遞，連快遞單號都告訴我了，但截至現(xiàn)在該商品還處在‘商家正通知快遞公司取件’的狀態(tài)?！?/p>

在最新的情況說明中，拼多多表示黑灰產團伙所利用的“優(yōu)惠券漏洞”盜取的相關優(yōu)惠券，為拼多多此前與江蘇衛(wèi)視《非誠勿擾》開展合作時，因節(jié)目錄制需要特殊生成的優(yōu)惠券類型，僅供現(xiàn)場嘉賓使用。

然而，黑灰產團伙通過非正常途徑生成的二維碼掃碼后獲得相關優(yōu)惠券，該二維碼多流傳于社交平臺相關黑灰產群。通過該二維碼，原本每個認證信息的用戶可且僅可領取一張無門檻100元優(yōu)惠券，而非此前網絡流傳的單個ID可以“無限領取”。

因此，黑灰產團伙通過“養(yǎng)貓池”（用手機卡蓄養(yǎng)大量虛擬賬號）等不法手段，實現(xiàn)N張手機黑卡同時作業(yè)，批量盜取該種優(yōu)惠券，并通過手機話費、Q幣等虛擬充值的方式，試圖在短時間內迅速轉移此類不當所得，涉案優(yōu)惠券總金額達數(shù)千萬元。

拼多多風控團隊負責人表示，黑灰產團伙在盜取金額巨大的優(yōu)惠券并轉移其不當所得后，期望達成“法不責眾”的效果，迅速通過網絡和社交群將二維碼分享出去，誘導一些普通消費者跟風掃碼。

拼多多強調，此種類型的優(yōu)惠券從未在任何時候、以任何方式出現(xiàn)在平臺正常的線上促銷活動當中，甚至從未有任何線上入口，拼多多亦未曾針對該類型優(yōu)惠券生成任何二維碼。但二維碼具體的生成及傳播過程，仍待警方調查后公布最終結論。

值得注意的是，職業(yè)羊毛黨看中充話費和Q幣是自動發(fā)貨，因此將優(yōu)惠券迅速兌現(xiàn)。對于拼多多而言，能否向三大運營商以及騰訊追討這一次損失成疑，目前拼多多亦未透露是否有追討資損的具體方案。

———————————————

收回優(yōu)惠券合理嗎

———————————————

出現(xiàn)Bug被用戶“薅羊毛”的現(xiàn)象在國內互聯(lián)網行業(yè)中時有發(fā)生。

2018年元旦期間，騰訊視頻發(fā)起優(yōu)惠充值活動，但因為活動服務器后臺數(shù)據(jù)出現(xiàn)異常，有部分用戶在充值一個月時出現(xiàn)應該支付優(yōu)惠價18元實際僅被扣費0.2元的狀況。當時這一漏洞共引來39萬用戶參與。

其后騰訊公告稱，這是公司的工作失誤，公司將這些異常訂單全部兌現(xiàn)，且不再扣費。最終，騰訊為這個Bug付出超過5000萬元的代價，但同時贏得網友的好評。

但拼多多并未“順應民意”自掏腰包。在發(fā)現(xiàn)漏洞后，拼多多在當日9時左右緊急將所有優(yōu)惠券的領取方式下架，同時取消了用戶已領取但未使用的優(yōu)惠券，記者留意到，當時拼多多還對App進行了優(yōu)化更新。為了補償用戶，拼多多向受影響用戶發(fā)放5元無門檻優(yōu)惠券，有效期為50年。

拼多多表示，此次事件與其他公司一系列因Bug所致資損事件存在本質差別，這一次是“套券詐騙”的網絡詐騙案件?！叭绨凑站W絡中前者被以‘ATM機誤吐鈔’現(xiàn)象做類比，后者則相當于非法團伙撬開ATM機后實施盜竊?！?/p>

電子商務研究中心主任曹磊認為，從法律責任認定和用戶權益保護角度出發(fā)，如果是平臺主動推出的活動，那么應按照官方說明來兌現(xiàn)承諾，也就相當于在線跟用戶簽訂協(xié)議，平臺當然要執(zhí)行?！暗炊喽嘞嚓P聲明已經顯示，是通過一個過期的優(yōu)惠券漏洞盜取了優(yōu)惠券。根據(jù)《合同法》相關規(guī)定，拼多多取消或收回優(yōu)惠券是不需要承擔法律責任的。”

他表示，如果此次拼多多出現(xiàn)優(yōu)惠券漏洞是黑產羊毛黨惡意行為，這類交易屬于存在“重大誤解”訂立的合同，“（拼多多）是可以要求撤銷的?！?/p>

北京康達律師事務所律師韓驍亦認為，拼多多收回已經領取但還沒有使用的優(yōu)惠券，這一做法并不會和剛出臺的《電商法》相沖突。此次事件中，拼多多采用收回已領取但未使用的優(yōu)惠券這一方式來應對，屬于合理的補救措施。

另據(jù)記者了解，當日11時左右，拼多多的工作人員已經向部分商家發(fā)出通知，凡是已使用100元無門檻券的訂單不允許發(fā)貨。

根據(jù)《電商法》第四十九條規(guī)定，電子商務經營者發(fā)布的商品或者服務信息符合要約條件的，用戶選擇該商品或者服務并提交訂單成功，合同成立。當事人另有約定的，從其約定。電子商務經營者不得以格式條款等方式約定消費者支付價款后合同不成立;格式條款等含有該內容的，其內容無效。

曹磊表示，拼多多這一做法與《電商法》不沖突?！皭阂饫孟到y(tǒng)漏洞獲取的優(yōu)惠券，不能有效地折抵付款中的相應付款義務，所以應該視為未完成付款義務，不受《電商法》第四十九條第二款的約束，商家可以不發(fā)貨?！?/p>

中國政法大學知識產權中心特約研究員趙占領則告訴記者，如果用戶已經使用優(yōu)惠券購買拼多多上第三方商家的商品，用戶和商家之間的合同已經成立，拼多多可以去追究用戶的責任，但不能阻止商家發(fā)貨。

———————————————

為何會發(fā)生“薅羊毛”事件

———————————————

關于風控的問題，拼多多表示公司一直有風控體系建設，而且本次事件不涉及任何數(shù)據(jù)安全問題，平臺消費者原本正常領取的優(yōu)惠券使用不會受到影響。為進一步加強“特殊優(yōu)惠券”相關風控體系，拼多多透露公司已成立技術組。

對于拼多多“被薅羊毛”一事，某反詐騙安全團隊專家陳鋒（化名）表示，有許多手段可以防止平臺被惡意“薅羊毛”，包括限制優(yōu)惠券的總數(shù)以及優(yōu)惠券的應用場景，“比如設置最多10萬張券，只能用于滿200元的實物訂單，再加上最基礎的防薅羊毛策略，就能保證不出大問題”。

對于為何風控系統(tǒng)沒有監(jiān)測到異常情況，拼多多回應稱事件發(fā)生時正值平臺大促，其間有大批量平臺正常發(fā)放的優(yōu)惠券被消耗。直至當日上午9時，遭盜取優(yōu)惠券和正常優(yōu)惠券的總和突破平臺預設閾值，系統(tǒng)才監(jiān)控到異常并自動報警后，拼多多在第一時間修復相關漏洞。

根據(jù)網友截圖，此次事件中拼多多的優(yōu)惠券屬于“無門檻全場通用”，還有網友曬出了充值話費、購買Q幣的截圖，有的充值金額甚至高達5萬元?！霸诖耸录?，拼多多的業(yè)務規(guī)則出現(xiàn)了問題，最基本的防薅羊毛手段都沒有設置?！标愪h稱。

在陳鋒看來，目前確實存在專業(yè)的“羊毛黨”，針對不同平臺，這些羊毛黨擁有注冊賬號（涉及手機號、接碼平臺等）、下游支付渠道、清洗轉移渠道等等，而消息靈通與否以及設備的專業(yè)程度則決定了這些羊毛黨的收入。

羊毛黨的行為涉嫌犯罪嗎

事實上，在《拼多多服務協(xié)議》7.1禁止行為中已明確，用戶使用拼多多平臺外掛和/或利用拼多多平臺當中的Bug來獲得不正當?shù)睦婧杖辉诹小?/p>

韓驍表示，用戶利用系統(tǒng)漏洞大量領取平臺的優(yōu)惠券并以此獲利，可能涉嫌盜竊罪，若獲利數(shù)額達到相關標準，則有可能需要承擔刑事責任。不過他強調，如果是平臺的普通客戶，并非有意識地通過這一安全漏洞大量領取優(yōu)惠券牟利，而僅領取了數(shù)量較少的優(yōu)惠券，沒有盜竊的主觀故意，客觀上獲利也未達到量刑標準，則并不構成盜竊罪。

對于薅羊毛黑產是否涉嫌違法犯罪，陳鋒表示比較難以判斷，“一般而言首先必須有公司報案，而此前的實際案例中，最多的情況可能會協(xié)商，協(xié)商不成按詐騙來辦，但最終是否違法或者犯罪還要看公檢法機關的定性。”

拼多多在最新的公告中表示，對于遭裹挾的普通消費者，平臺主觀意愿上不會進行進一步追責，但不支持此類非正常行為。

電子商務研究中心特約研究員、北京盈科（杭州）律師事務所律師方超強認為，黑灰產實際上是一個網絡術語，并沒有明確的概念和外延;從拼多多事件來看，所謂“黑灰產團隊”，有幾個事實應當是明確的：1.應當是主動尋找系統(tǒng)漏洞，而非進行系統(tǒng)破壞和篡改;2.主觀上知道是漏洞;3.客觀上利用漏洞牟利;4.優(yōu)惠券應當是具有一定價值的財物。從犯罪構成要件看，個人認為涉嫌盜竊罪。

中國政法大學傳播法研究中心副主任朱巍則表示，當平臺出現(xiàn)優(yōu)惠券Bug，且原因不明時，分兩類情況：第一，若是涉及計算機系統(tǒng)破壞出現(xiàn)Bug的，屬于《刑法》破壞計算機信息系統(tǒng)罪，情節(jié)特別嚴重有五年以上的刑期。第二，若是不涉及系統(tǒng)破壞，僅是利用漏洞，這類情形嚴重的話，實踐中涉及盜竊罪、侵害知識產權罪，不嚴重的話，薅到的券屬于不當?shù)美?，應予返還。

在此次拼多多事件中，黑灰產團隊在刷了足夠多的優(yōu)惠券賺取利潤后，出于“法不責眾”的心理將優(yōu)惠券鏈接公布于眾。朱巍認為，除了自己刷，還發(fā)布相關信息的人，傳播這類信息可能涉及前面罪名的共犯，也可以單獨構成傳授犯罪方法罪，或構成擾亂市場秩序的行政處罰。

在朱巍看來，少量刷的人，一般不構成犯罪，但其“所得屬于不當?shù)美?，應及時予以返還”。若是在事實公布后還刷的，就構成盜竊罪。

對拼多多影響有多大

憑借著社交電商全新打法，成立僅三年時間的拼多多已經是國內最成功的獨角獸企業(yè)之一。摩根士丹利近日發(fā)布研報，首次把拼多多納入研究范圍，給予“增持”評級，并把目標股價定為29美元。

拼多多財報顯示，去年第三季度，拼多多實現(xiàn)營收33.72億元，同比增長697%，環(huán)比增長24%;去年前三季度共實現(xiàn)74.66億元營收，同比增長約12倍。但并不樂觀的是，拼多多凈虧損進一步擴大，去年第三季度虧損10.98億元，遠高于前年同期的2.21億元;去年前三季度共虧損77.93億元，前年同期為5.39億元。

拼多多仍在投入大量的資金拉新，通過冠名綜藝節(jié)目等方式繼續(xù)拉動用戶增長率和活躍度。財報顯示，去年第三季度拼多多的銷售及營銷費用高達32.3億元，同比增長655%，主要原因是由于品牌推廣活動及線上線下廣告及促銷活動增加所致。

拼多多狠砸營銷費用的另一個重要原因是獲客成本在走高。2017年三季度，拼多多單個新用戶的獲客成本為13元，但去年上半年已經飆升至55元。

值得一提的是，盡管拼多多在去年第三季度投入的研發(fā)費用同比增長828%，但其研發(fā)費用僅為銷售和營銷費用的1/10。

記者注意到，拼多多已于1月20日下午在招聘平臺發(fā)布多個與風控相關的職位，包括風控總監(jiān)、風控策略/模型專家等。

經過此次事件后，拼多多的研發(fā)費用或許將保持高增速。

打擊黑產要從源頭始

曹磊表示，對黑灰產的認定從嚴格意義上講，應該由相應的監(jiān)管部門，或者是公安網監(jiān)來進行認定。當然，平臺方如果能夠提供充分有效的證據(jù)、材料，也將有助于監(jiān)管、司法、公安等部門進行認定。

在采訪中，多名專家對記者表示，要打擊薅羊毛黑產，最有效的方式是直接打掉其產業(yè)鏈上游的惡意注冊工具提供商。

記者了解到，遼寧省公安廳曾就惡意注冊上游工具軟件發(fā)起名為“610”的專案打擊。

曾經參與該案件的一名網絡安全專家稱，在專案中，其鎖定了頭部惡意注冊工具軟件數(shù)款，其中一款名為XXTouch的按鍵精靈軟件能夠模擬人操作手機的行為，并擁有可簡易化實施改機工具的功能，包括偽裝手機信息、GPS信息功能?！昂喍灾诓豢紤]效果的情況下，XXTouch一款軟件已經做到惡意注冊除IP更改外的所有環(huán)節(jié)技術提供，在其看似中立的偽裝下，實際上為惡意注冊黑產配備了全套武器”。

該專家表示，對于打擊惡意注冊，最好的辦法是能夠斬斷惡意注冊黑產鏈最上游，從生態(tài)上擠壓惡意注冊的生存空間。這包括偽造設備硬件信息實現(xiàn)多開的改機工具，沒有改機工具，惡意注冊不具備實施性;以及輔助自動化操作的群控和按鍵精靈軟件，沒有自動化，惡意注冊無法擺脫高昂的人力成本。

但他同時認為，由于惡意注冊軟件在黑產圈普及，導致惡意注冊工作室的開設門檻極低，一次集群行動可以打掉一個地區(qū)的一批團伙，但是很可能其他地區(qū)馬上就有新的團伙如雨后春筍般冒出。