拼多多事件致“黑灰产”走红，谣言比薅羊毛更易传播

昨天，3亿人都在用的拼多多刷屏了。

这源于一个BUG。

20日凌晨网友发现大BUG

1月20日凌晨，拼多多出现巨大漏洞，用户可以随意领取100元无门槛券，而且还能使用次数还不受限制。

巨大的“惊喜”引发大批用户开启“薅羊毛”的节奏，有的人用0.4元就可以冲100块话费，疯狂者“一夜未眠”，利用这一漏洞给自己储备好了够用十几年的话费，还有的冲了Q币，并且晒出自己账户内有超过50万Q币余额。

有的人半夜被叫起来薅羊毛。

有消息称，专职薅羊毛的人发现了这个大BUG，害怕“进去过年”于是把领券方式公布于众。

薅羊毛活动止于20日上午

事情经过一夜发酵，到了20日上午9点多，拼多多才修复了BUG，撤消了100元优惠券。之前领到未使用的优惠券也全部下架。

没赶上的人捶胸顿足，表示“错过一个亿”。收回优惠券后，拼多多官方微博下面都是前来表达不满的网友，有表示“我的无门槛100元券为什么不能用”“欺骗消费者”“315见”的，但也有表示“本来就够惨了，还要别人倒闭不成”“只能证明你们太慢了”的。

网上亦有疑似拼多多内部截图称，希望所有商家不要发货：“今天内技术会全部砍单，所有商家不要发货，发了货的马上追回包裹，降低损失。平台会给消费者补偿5元无门槛券”。

拼多多第一次回应：已报案

1月20日中午，拼多多方面表示，1月20日凌晨，有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券，进行不正当牟利。

此外，拼多多表示：“针对此行为，平台已第一时间修复漏洞，并正对涉事订单进行溯源追踪。同时我们已向公安机关报案，并将积极配合相关部门对涉事黑灰产团伙予以打击。”

在拼多多的官方声明中，提到“有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券，进行不正当牟利。”有些网友产生疑惑，什么是黑灰产？

黑灰产

对于网络黑灰产，有些人比较陌生。

在2018年10月9日，中国青年报发表的文章《网络黑灰产已近千亿，个人信息泄露是源头》中指出，所谓网络黑灰产，指的是电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。稍有不同的是，“黑产”指的是直接触犯国家法律的网络犯罪，“灰产”则是游走在法律边缘，往往为“黑产”提供辅助的争议行为。

网络黑灰产已近千亿规模。据南都大数据研究院等机构发布的《2018网络黑灰产治理研究报告》估算，2017年我国网络安全产业规模为450多亿元，而黑灰产已达近千亿元规模；全年因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元，而且电信诈骗案每年以20%~30%的速度在增长。

该报告还指出，黑灰产共有四种类型：虚假账号注册等源头性黑灰产；用于进行非法交易、交流的平台；木马植入、钓鱼网站、各类恶意软件等；大多以恶意注册、虚假认证、盗号等形式实现的网络黑账号。

另据阿里安全归零实验室统计，2017年4月至12月共监测到电信诈骗数十万起，案发资金损失过亿元，涉及受害人员数万人，电信诈骗案件居高不下，规模化不断升级。2018年，活跃的专业技术黑灰产平台多达数百个。

中国青年报在文章中指出，在电信诈骗等许多网络黑灰产行为中，用户的个人信息是源头之一。

那么黑灰产怎么进行盈利的，对此，InfoQ在文章中指出，撞库和垃圾注册是其盈利的两个手段。

黑产的现状及常用的盈利手段是什么？

这里给出三个数字：

第一个数字是150 万，这是2017 年网络安全生态峰会上评估出的黑产从业人员的人数。跟这个人数相比，目前业界顶尖公司中安全从业人员最多不过千余人，与黑产对比可谓凤毛麟角。

第二个数字是千亿，这是网络安全生态峰会上评估的黑产年产值。根据2017 年的腾讯阿里两家巨头的财报，两家公司净利润总和接近千亿元，黑产的年产值基本可以与这两家巨头公司并驾齐驱。

第三个是20%，这是根据我们之前经验评估的营销活动的资损率。举例来说比如要做一个新注册的拉新活动，投了100 万去吸引用户，最后会发现至少有20 万会进入到黑产的口袋里。

黑产的盈利场景是什么？

第一种是撞库，就是把其他平台泄露的一些用户名和密码，不停地拿到另外一些平台上去试，如果登录成功之后首先会窃取账号内的资产信息，之后会使用窃取的账号去做一些薅羊毛等相关的事情。

第二种是垃圾注册，黑产要盈利必须要有海量的帐号，黑产会注册成千上万个小号来为后续的活动进行准备，这是万恶之源。

黑灰产遭到各方严厉打击。工信部网络安全管理局网络与数据安全管理处副处长袁春阳也曾表示，数据安全与个人信息保护问题涉及移动互联网的多个环节，需要加强产业合作，强化协同安全，有关企业要切实履行主体安全责任，相关行业组织和安全厂商，要发挥组织和技术优势，健全完善行业自律和网络安全协作机制，共筑网络安全防线，共同提高网络安全保障合力。

比薅羊毛传播更快的是谣言

有人表示，此次拼多多出现的百元优惠券BUG给拼多多造成的损失达到200亿元。这个数据顿时震惊全网。

Wind数据显示，拼多多2017年财报显示一整年的营业收入仅为17.44亿元，2018年前三季度总营收为74.66亿元，机构预测2018年全年总营收为120.68亿元。

拼多多一夜之间损失了超过两年的总营收？！这确实让人震惊。不过这一消息很快得到辟谣。

据财经网报道，1月20日，针对市场中传言拼多多“因为灰黑产被薅走200亿”的谣言不胫而走。对此拼多多发言人表示，实际最终资损或低于千万元人民币。但让人惊讶的是，比薅羊毛更快的是“资损200亿”谣言的传播速度。

除了200亿的谣言，还有说整个部门年终奖取消的消息。（已经证实为谣言）

还有许多谣言，诸如截图号称是拼多多公关部门多多哥，希望用户撤回已下单的交易；电白法院开庭等。

谣言满天飞，1月20日18点左右，拼多多在微博上进行集中辟谣。

辟谣归辟谣，截至目前，拼多多并没有透露最终损失金额，另外网友关注的焦点，已经下单成功的交易是否撤回还没有等到官方答复。

BUG造成的损失该谁承担？

如此高额的无门槛抵用券，即便只是用常识判断，也明白是出现Bug了。

但是，如果拼多多要求撤销因漏洞产生的优惠券，是否有法律依据？两者的利益该如何平衡？

类似的事件并不少见，但是电商平台一般都是自掏腰包，满足用户的需求。

腾讯视频“0.2元开通VIP”处理：异常订单全部兑现，且不再扣费。

东航0.4折白菜机票bug：全部有效，并请一位用户参加接机仪式。

据新《电商法》第四十九条：“电子商务经营者发布的商品或者服务信息符合要约条件的，用户选择该商品或者服务并提交订单成功，合同成立。当事人另有约定的，从其约定。电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立；格式条款等含有该内容的，其内容无效。”

也就是说，消费者付款以后，商家不能用“格式条款等方式”约定付款后合同不成立的。

拼多多的用户守则中同样规定，用户不得“利用拼多多平台外挂和/或利用拼多多平台当中的BUG来获得不正当的利益”。