伊人久久大香线蕉午夜AV,99精品视频免费热播在线观看

搜索

APP

起點課堂會員權益

職業體系課特權

線下行業大會特權

個人IP打造特權

30+門專項技能課

1300+專題課程

12場職場軟技能直播

12場求職輔導直播

12場專業技能直播

會員專屬社群

榮耀標識

發布

注冊 | 登錄

從產品流程上，復盤拼多多的風控漏洞

Gonna_L

2019-02-12

2 評論 23484 瀏覽 133 收藏

15 分鐘

相信前不久大伙兒都被拼多多的100元無門檻優惠券信息刷爆了?；叵肭安痪玫臇|航“烏龍指”，Airbnb貨幣結算BUG，互聯網的盛宴自然離不開分一杯羹的羊毛黨。只是這次薅的上市公司都疼了，拼多多直接報警了。筆者有幸參與了這個據說上百億的大項目，從產品流程復盤拼多多風控漏洞。

事件再回顧

薅上一天夠吃一年。1月20號凌晨一點至9點30分，一則關于拼多多100元無門檻優惠券的線報刷爆了各大羊毛群。從渠道到羊頭，從羊頭到羊毛黨，層層傳播，一場的“盛宴”開啟了。不限設備不限IP不限賬號，每戶可領一張100元無門檻券。這個凌晨注定不平靜，卡商、接碼平臺、軟件商、羊毛黨，整個黑產產業鏈瘋狂的運轉。

截止20日上午9時許，拼多多工作人員上班后開始堵截漏洞。21日9時30分左右，基本完成對全平臺作廢領券入口&禁止無門檻券使用。網傳平臺預估損失上千萬，事故發生后，拼多多平臺針對損失的大額變現的虛擬物品進行凍結并對變現實物的訂單要求商戶停止派發快遞，把損失控制在了百萬內。

在這個事件中，或多或少都暴露出拼多多在策略流程、技術保障以及企業內部風控保障存在一些問題。針對該事件咱們做一次逆推去重現BUG優惠券的生命流程，就每一步進行拆解分析，從中汲取經驗教育為下一次業務流程的完善打下堅實的基礎。

重現BUG券產生業務流程

首先是BUG券產生，本次事件最大的問題就是關于優惠券無門檻的設置，現在稍微有點規模的電商在促銷反作弊上或多或少都會做一些設置性的門檻。我們常見的無門檻優惠券是電商為了促銷商品設置的一種優惠券，雖然往往宣稱“無門檻”，但是在實際使用上設置了很多門檻，比如必須新戶（這個新包含了新身份證新手機號碼甚至新的設備ID），所以我們常說“無門檻”才是最大的門檻。

從BUG優惠券的創建到使用，以及誕生的時候，理論上外人是不知道的，那么是什么導致無門檻優惠券的信息外泄，事件裂變，最后在各大羊毛群中瘋狂流轉。

1. BUG券產生并上線可能存在的漏洞

（1）技術保障環節存在漏洞

SA系統工程師更新代碼時，對前后代碼變化的異動未產生風險示警或者說工程師得到了某些批準后便匆匆進行上線更新操作，未對變更代碼做嚴謹的審核。導致最后特定的優惠券代碼被更新到正式服。

（2）企業內部業務流程存在漏洞

優惠券一定是在某些特定環節在后臺系統優惠券模塊生成的。因為一些特殊的場景需要，并未勾選門檻、品類、用戶群體等存在風險的規則。不少企業或多或少都會存在這樣的事，針對這種情況在創建這樣的優惠券使用完畢后，必須進行銷毀或封存。并將其記錄在工作手則或者進行標注。當發生人員變更交替，避免發生因人員變換導致可能發生的流程風險。

2. BUG券外泄事件中可能存在的問題

（1）技術保障有待加強

羊毛黨中技術流派利用python爬蟲，采集到拼多多平臺所有的優惠券信息，通過數據篩選輕易的發現了存在的無門檻優惠券信息。加強技術保障，實現技術對后臺的保障安全墻，當“安全墻”被攻擊或者進入增加預警機制。

（2）企業內部管理存在問題

拼多多內部有員工外泄優惠券信息，里應外合，配合羊毛黨牟取不正當利益。這種情況需加強企業內部管理，適當增加企業流程審批，針對這樣的員工進行依法處理。

3. BUG券傳播裂變過程中風險監控存在的缺陷

實時風險監控未落實，此次事件發生在凌晨，微信群、QQ群早已傳瘋了，甚至到早上8時許，筆者甚至在朋友圈看到分享的線報。這里也說明拼多多并未做好實時的風險監控，在大量地方羊毛黨線報體系內沒有自己的眼睛，直達上午9時30分才進行了處置。

而整個事件的裂變，如果用一個詞形容就是瘋狂，看來金錢確實是最大的裂變驅動力。

4. BUG發現后的補救措施

筆者記錄當時較為精準的補救時間應該是上午9點30時前后，首先是關閉了領券地址防止用戶繼續領券，隨后對無門檻優惠券進行作廢使已領券的用戶無法使用BUG券進行商品結算，并在同一時間溝通所有拼多多的三方商戶，要求商家不發貨訂單結算中使用無門檻優惠券的訂單。直至下午，所有包含無門檻的訂單被取消，已領券用戶的賬號中的優惠券被刪除。

從事件補救的響應速度來看，拼多多平臺雖然未在第一時間發現BUG券，但在隨后的處理過程中補救措施相對得體，根據筆者線報可見的大批量將優惠券價值變現為虛擬物的賬號大多都做封停處理并未造成更大的二次擴散，一定程度挽回了損失，才能夠在最后將原來預估上千萬損失降低至幾百萬的可承受范圍。這也是拼多多平臺就風險處理方面值得咱們借鑒的地方。

當然不論事后拼多多做了多少努力，挽回了多少損失降低了多少影響，咱們都得清晰的明白這是補救措施，面對風險最重要的依舊是避免風險的發生。

御守互聯網羊毛黨

你問我有沒有辦法完全杜絕羊毛黨，我想未來可能會有但現在絕對不會有。

常見的風控防止薅羊毛的數據風控如下：

賬號信息：身份證、預留銀行卡、手機號等等；
設備信息：設備IMEI碼、Android_ID、序列號、SIM卡號等等；
網絡信息：SSID值、Mac地址等等。

從信息采集層面，我們知道不少信息來自App本身從設備中獲取。如果我告訴你這些可以作假呢？

技術流羊毛黨早已針對這類模型找到了對應的辦法，如下圖：

作弊和反作弊是一直斗爭抗拒的，想要筑好完善的制度和規則，咱們做產品必須得接地氣深入群眾打入羊毛黨深處。

歷史上驚人的反作弊案例：

1929年以前，美國證券市場沒有完善的法律和監管制度。第一次世界大戰后，美國經濟繁榮吸引了大批投資者。他們只做發財夢，不考慮當時失控的股票市場的風險和股市操作中的欺詐。 1929年股市大崩盤來臨，到1932年美國紐約證交所的市值由890億美元降至150億美元。

為了挽救公眾對資本市場的信心，讓經濟復蘇，美國國會1934年創建《證券交易法》。為讓《交易法》順利通關，美國政府還作了不少讓步，最大讓步就是成立了SEC。SEC第一任主席是Joseph Kennedy，當年華爾街最大莊家之一。

Joseph Kennedy在日后善用自己以往的違規經驗，變成證券界違規者的大殺手。甚至聘任力主加強監管的蘭德斯與道格拉斯為副手。道格拉斯是第二任主席，蘭德斯是第三任主席。

對了，他還有一個兒子叫做John F. Kennedy特別有名，我們常稱呼他為肯尼迪總統。

在重建整個事件流程后，咱們從中可以看出一些問題所在，核心的本質無外乎業務流程存在漏洞缺少風控意識。所以當需要做一個整體風控的時候，跨部門跨團隊讓全體小伙伴都形成反作弊風控意識就十分重要了。

所以，當風控部門在做風控時，除了聯合BI大數據部門外，還需要即使協作業務團隊在策劃活動做用戶增長用戶推廣時，業務層面可能存在的風險隱患。使人人都有識別風險、預警風險、監控風險、應對風險的基本意識和一定程度的能力。

做為一名羊毛黨的筆者這里有三個小小的建議

1. 異常數據預警

異常數據預警一般包括兩個方面，一方面是價格異常預警，另一面是商品銷量預警。

（1）價格異常預警

這一塊功能阿里電商后臺目前做的較為完善。天貓淘寶改變原固有疊加優惠券模式變為平行優惠券模式，曾在一段時間內經常發生運營烏龍指事件，直接導致用戶花費十幾元甚至幾元購買了原價值幾百上千元價值的商品，直接傷害到了商戶的利益。

根據淘寶的規則，訂單創建后也就代表了契約，商戶不得不發貨延遲發貨或者取消訂單。因為規則的改變，有部分商戶未重視直接導致損失巨大。（可參考筆者之前的文章產品思維雙十一薅羊毛，平行優惠券邏輯下也極易把商家薅廢）。目前這塊價格預警已經完善，估計日后較難發生錯價商品。

（2）商品銷量預警

做過電商的都知道在一個成熟體系下商品銷售量是具有周期性變化的，除了大促活動外日常的正常營銷體系下商品的銷量不會出現較大的變化。當某一商品突然以非常態的狀態短時間內大量銷售，那么一定是來自某一消息面的影響，比如“非典買鹽”等特殊情況。如果沒有，那么極有可能就是風控失控的表現。

2. 創建個人信息白名單

目前太多的黑產，利用信息不對稱、偽造信息甚至買賣身份信息。要想完全杜絕黑產筆者認為是一件長期的任重道遠的工作，也絕不是一家公司可以實現的。但是咱們做一份白名單用戶，我認為理論上是可以的。

這里常見的商業手段一般就是推出XX盾服務，提供給其他企業獲取其他企業信息，整合為自己的大數據不斷豐富個人信息白名單。對于中小電商企業來說，這顯然是一件較為困難的事情，中小企業的痛點無外乎用戶數據基礎薄弱資金有限。如果能夠以蘇秦之勢，行合縱六國之策，共享用戶信息黑/白名單，消滅一個個信息孤島，那么我相信整個市場的大環境會越來越好。