原标题:拼多多百元券漏洞,撸了一辆宝马的羊毛大牛要进去过年吗?
来源:黑奇士
作者:司马子羽
1月20日凌晨,拼多多出现大羊毛:任意账户可以领百元无门槛券,这个券可以在拼多多全场抵扣使用。该漏洞一直持续到上午十点左右才被堵上,不少网民用百元券充值的话费和Q币已到账。
业内人士估计,此次漏洞,拼多多损失可能超过千万。黑奇士(id hqssima)羊毛群里大概九点半左右出现线报,但此时这场羊毛党狂欢已经接近尾声。
在某赚客论坛上,不少羊毛党纷纷晒出自己的战绩,一半以上都撸了500元以上的话费或Q币,其中大部分人撸的虚拟物品已到账。
但有网友也在论坛发布聊天截图,拼多多已经今日凌晨向入驻商家发布紧急通知,百元券不能用来抵扣商品,如果是网友购买的实物商品,建议终止物流派送。
有传闻说,在此次漏洞中,有羊毛大佬撸了几十万话费,足够买一辆宝马5系,其金额已经构成“进去”的标准。为了避免受到法律惩罚,大佬才在论坛上发布线报,构成“法不责众”的情况。黑奇士无法证实或证伪此说法。
本次漏洞造成至少数百万元损失,如果羊毛党用券购买商品,拼多多会给入驻商家正常结算,还是双方按照什么比例来分担损失,目前没有确定的消息。
黑奇士采访的安全人士指出,这次漏洞明显是拼多多的风控能力不足导致。如果按照正常的活动流程,百元券需要设立领取门槛,结合设备指纹、登陆IP、账号等级等,给定一个领取概率,以此来避免羊毛党利用虚拟设备、手机牧场来批量囤积优惠券。
但从实际情况看,显然拼多多的风控不过关。
发稿之前,黑奇士看到拼多多官方服务号发布公告:系统出现漏洞,误发的百元券已被回收,拼多多官方给用户补偿一张5元券,有效期为50年。
有人在微信群里晒出截图,疑似拼多多公关的人在跟撸羊毛大佬沟通,希望其返回撸的Q币,否则充值的QQ号码可能会被回收。
