内功不够-拼多多bug被利用,一夜之间损失上百亿

[网络安全] 季雨林 2019/1/21 8:15:35

        自从有了各种优惠活动,“羊毛党”也就应运而生。尤其是各种在线商城类应用,无不感受过羊毛党的威力。这一次,轮到了大家爱恨交加的“拼多多”

        虽然本站未做细节证实,但是对于流出的各种版本,完全是非常有可能出现的。对于这种情况,不得不说是拼多多的发展太快,以至于自身的“内功”修炼不够。

        拼多多被薅羊毛事件,本次导火索如下,测试性质的无门槛代金券被投放至生产环境。随即被专业羊毛党发现。然后专业羊毛党在自己薅羊毛之后,混淆视听,对公众公开了此羊毛福利。从而大量羊毛党混入。

        对于最先发现此漏洞的专业羊毛党。其手法高明的很,因为对于互联网上,完全抹除自己的各种踪迹其实非常难,但是这伙专业羊毛党显然明白这一道理,于是就使用了反向的保护自己的的方式:那就是将薅羊毛方法公之于众。通过这一操作复制出大量的自己,将自己保护伪装起来。要知道,在警力有限的前提下,抓一个羊毛党非常容易,但是抓光一批羊毛党显然是不可能的。因此即使本次事件会非常严重,甚至有人入狱,但是对于被抓的那些,只能算是羊毛党里又笨又傻的小人物,并非羊毛党源头。

        对于拼多多,本站要说的便是拼多多的自身不足,也即是“内功”修炼不够。我们对比其他商家平台,例如淘宝,亚马逊,京东。并没有出现过量发放代金券的行为,更没有无限制使用代金券的事件传出。原因超级简单,就是规则明确。拼多多这次才出现的优惠券,既没有限制“新用户”,也没有限制“总领取量”,还没有限制“使用范围”,也缺少判断“是否同人操作多账户”逻辑。


        插入话题说说我了解的几种“反羊毛方法”:

        基础资料验证:四要素验证(姓名,手机号,身份证,银行卡)

        买家信息验证:身份证,手机号,收货地址,操作设备,付款账号,操作IP等

        其他信息验证:买家卖家信息关联性分析


        最后强调一点,所有商家平台都应该防范,那就是及时做了以上验证,也并不能完全排除“羊毛党”。真正的羊毛党,往往是真人级别操作。正如本文拼多多被薅羊毛一例中,最初的羊毛党未必真人操作,但是公布了薅羊毛办法之后,赶来薅羊毛的却往往是“真人用户”。我曾经在一家单位做项目时候,就被领导要求“不要那么多约束,快速实现功能就行!”,这种要求本身就是对反羊毛党意识的缺失。程序员因此也常常苦水:这种bug真不应该是程序员背锅。因为很多风险,其实程序员开发过程已经可以弥补产品部门的不足。




原文地址: https://www.opengps.cn/Blog/View.aspx?id=228 文章的更新编辑依此链接为准。欢迎关注源站原创文章!

广告区

大疆无人机


鲁ICP备14008001号-2