作者：司馬子羽

1月20日凌晨，拼多多出現(xiàn)大羊毛：任意賬戶可以領(lǐng)百元無門檻券，這個(gè)券可以在拼多多全場(chǎng)抵扣使用。該漏洞一直持續(xù)到上午十點(diǎn)左右才被堵上，不少網(wǎng)民用百元券充值的話費(fèi)和Q幣已到賬。

業(yè)內(nèi)人士估計(jì)，此次漏洞，拼多多損失可能超過千萬。黑奇士羊毛群里大概九點(diǎn)半左右出現(xiàn)線報(bào)，但此時(shí)這場(chǎng)羊毛黨狂歡已經(jīng)接近尾聲。

在某賺客論壇上，不少羊毛黨紛紛曬出自己的戰(zhàn)績(jī)，一半以上都擼了500元以上的話費(fèi)或Q幣，其中大部分人擼的虛擬物品已到賬。

但有網(wǎng)友也在論壇發(fā)布聊天截圖，拼多多已經(jīng)今日凌晨向入駐商家發(fā)布緊急通知，百元券不能用來抵扣商品，如果是網(wǎng)友購買的實(shí)物商品，建議終止物流派送。

有傳聞?wù)f，在此次漏洞中，有羊毛大佬擼了幾十萬話費(fèi)，足夠買一輛寶馬5系，其金額已經(jīng)構(gòu)成“進(jìn)去”的標(biāo)準(zhǔn)。為了避免受到法律懲罰，大佬才在論壇上發(fā)布線報(bào)，構(gòu)成“法不責(zé)眾”的情況。黑奇士無法證實(shí)或證偽此說法。

本次漏洞造成至少數(shù)百萬元損失，如果羊毛黨用券購買商品，拼多多會(huì)給入駐商家正常結(jié)算，還是雙方按照什么比例來分擔(dān)損失，目前沒有確定的消息。

黑奇士采訪的安全人士指出，這次漏洞明顯是拼多多的風(fēng)控能力不足導(dǎo)致。如果按照正常的活動(dòng)流程，百元券需要設(shè)立領(lǐng)取門檻，結(jié)合設(shè)備指紋、登陸IP、賬號(hào)等級(jí)等，給定一個(gè)領(lǐng)取概率，以此來避免羊毛黨利用虛擬設(shè)備、手機(jī)牧場(chǎng)來批量囤積優(yōu)惠券。

但從實(shí)際情況看，顯然拼多多的風(fēng)控不過關(guān)。

發(fā)稿之前，黑奇士看到拼多多官方服務(wù)號(hào)發(fā)布公告：系統(tǒng)出現(xiàn)漏洞，誤發(fā)的百元券已被回收，拼多多官方給用戶補(bǔ)償一張5元券，有效期為50年。

有人在微信群里曬出截圖，疑似拼多多公關(guān)的人在跟擼羊毛大佬溝通，希望其返回?cái)]的Q幣，否則充值的QQ號(hào)碼可能會(huì)被回收。

拼多多對(duì)此事發(fā)布聲明，稱有黑灰產(chǎn)團(tuán)伙通過一個(gè)過期的優(yōu)惠券漏洞盜取數(shù)千萬元平臺(tái)優(yōu)惠券，進(jìn)行不正當(dāng)牟利。針對(duì)此行為，平臺(tái)已向公安機(jī)關(guān)報(bào)案。