如何看待拼多多出现 100 元无门槛优惠券的漏洞?可能的技术原因是什么?羊毛党行为是否具有法律风险?
拼多多出现 100 元无门槛优惠券的漏洞,这一事件在网络上引起了广泛关注和讨论。从不同角度来看,可以有以下解读:
从消费者角度:
惊喜与狂欢: 对于部分消费者来说,这是天上掉馅饼的好事。他们可以以极低的价格甚至免费获得商品,体验到“薅羊毛”的乐趣和满足感。
对平台的信任危机: 尽管很多人从中获益,但也有消费者担忧平台的安全性与稳定性。这种漏洞的出现,可能会让他们对平台的规则和技术能力产生怀疑,影响其未来的购物体验和信任度。
对公平性的质疑: 部分未及时发现或未能利用漏洞的消费者,可能会对平台处理漏洞的方式产生不满,认为存在不公平。
从平台角度:
严重的系统 Bug: 这是一个非常严重的系统性错误,暴露了拼多多在优惠券发放和校验机制上的巨大漏洞。这不仅会导致巨大的经济损失,更会损害平台的品牌形象和用户信任。
危机公关的考验: 拼多多需要妥善处理此次事件,包括快速修复漏洞、追回已兑换的商品或款项、以及向用户解释和安抚。处理不当可能引发更大的负面舆论。
技术投入与风险控制的失衡: 事件可能反映出平台在快速扩张过程中,对技术研发和风险控制的投入未能跟上业务发展的步伐。
从社会和行业角度:
技术安全的重要性再次被强调: 此次事件是所有电商平台都需要警醒的例子,突显了信息技术安全在电商运营中的极端重要性。
“羊毛党”现象的放大: 这一事件也让“羊毛党”群体及其行为再次进入公众视野。虽然很多“羊毛党”行为处于灰色地带,但这种规模性的漏洞利用,也引发了对商业道德和社会责任的讨论。
监管的必要性: 对于这类影响广泛、可能涉及经济安全的平台漏洞,相关监管部门也可能介入调查,以确保市场秩序和消费者权益。
可能的技术原因是什么?
100 元无门槛优惠券的漏洞,其技术根源很可能涉及到 后端校验逻辑的疏忽、前端请求与后端数据交互的异常、以及对某些特殊接口的误用或滥用。以下是一些可能的技术原因,可以详细展开:
1. 优惠券发放/生成逻辑错误 (Backend Logic Error):
条件判断缺失/错误: 最直接的原因是,在生成或发放优惠券的代码逻辑中,原本应该存在的“门槛条件”判断(例如,消费满 X 元才能使用)被错误地省略或写成了恒为真的条件。
数据错误或初始化问题: 可能在优惠券的数据库表中,某个表示“门槛”的关键字段被错误地设置成了 0 或者一个无效值,导致系统认为该券是无门槛的。或者在批量生成优惠券时,由于数据处理错误,导致所有新生成的券都默认无门槛。
版本回滚或部署失误: 可能是由于一次不成功的系统更新或回滚操作,导致了一个包含漏洞的老版本代码被重新部署上线,而这个老版本恰好存在此漏洞。
2. 前端请求参数构造异常 (Frontend Request Parameter Manipulation):
参数篡改或伪造: “羊毛党”很可能通过抓包工具(如 Charles, Fiddler)分析拼多多APP或网页版的API请求。他们可能会发现,在下单时,前端会向服务器发送一个请求,其中包含用户ID、商品ID、优惠券ID等信息。如果服务器端对接收到的优惠券ID(或者其关联的门槛信息)校验不严,用户就可以通过修改请求中的某些参数(例如,将原本需要门槛的优惠券ID替换成另一个看似有效但实际无门槛的优惠券ID,或者直接在请求中“注入”一个100元的无门槛优惠券信息)来欺骗服务器。
JSON/XML 格式漏洞: 有些API接口可能接受 JSON 或 XML 格式的数据。如果前端发送的数据结构存在漏洞,或者解析逻辑不严谨,攻击者可能通过构造特定的数据结构来绕过校验。
3. API接口设计缺陷 (API Interface Design Flaw):
过度信任前端传来的数据: 最常见的安全漏洞就是“过度信任前端”。有些API在处理优惠券使用时,可能仅仅是检查了优惠券ID的有效性,而没有再次从服务器数据库中查询该优惠券的实际状态和使用规则。如果前端可以发送任意优惠券ID,而服务器不进行二次校验,那么就可以利用此漏洞。
缓存问题: 服务器端的缓存机制如果配置不当,可能导致某些优惠券的状态缓存了错误的信息,或者旧的优惠券规则被错误地应用到了新的请求上。
并发控制不足: 在高并发场景下,如果优惠券的使用校验和库存扣减没有做好并发控制,可能存在多个请求同时成功地使用同一张优惠券,或者利用竞争条件绕过门槛。
4. 第三方组件或SDK漏洞 (Thirdparty Component/SDK Vulnerability):
拼多多可能集成了第三方支付、营销、或者优惠券管理系统。如果这些第三方组件存在安全漏洞,并且被“羊毛党”挖掘出来,也可能导致此类问题的发生。
5. “绕过”优惠券校验机制的特定行为:
多次请求叠加: 例如,平台允许用户在一次购物中叠加使用多张优惠券。如果漏洞在于对叠加逻辑的校验不严,比如用户可以伪造多个优惠券ID,而系统在处理叠加时没有正确地校验每个券的门槛是否满足叠加条件,或者直接允许任意数量的100元券被叠加使用。
特定商品或支付方式的关联漏洞: 有时漏洞可能仅限于特定的商品类型、分类、或者支付方式。例如,某些商品的优惠券校验逻辑与主流商品不同,或者在某些支付渠道下,优惠券的校验过程被简化了,从而被利用。
举例说明一个可能的技术链条:
假设拼多多有一个优惠券接口 `/api/apply_coupon`,它接受 `user_id` 和 `coupon_id`。
正常的流程是:
1. 客户端(APP)获取 `coupon_id`(比如 coupon_id = ABC12345,该券有100元且有满200减100的门槛)。
2. 客户端发送请求:`POST /api/apply_coupon?user_id=123&coupon_id=ABC12345`。
3. 服务器端收到请求,查询数据库,验证 `user_id` 是否可以使用 `ABC12345`,以及 `ABC12345` 的门槛是满200减100。
4. 如果用户满足条件,服务器返回成功。
漏洞发生时,可能的技术链条:
Scenario 1 (逻辑错误): 拼多多内部系统错误地为用户发放了一批 `coupon_id = XYZ98765` 的优惠券,但在数据库中该券的门槛字段被设为 `0`。当用户在客户端收到 `XYZ98765` 并尝试使用时,服务器端虽然查询到 `coupon_id` 有效,但误以为其门槛为0,直接允许使用。
Scenario 2 (参数篡改): “羊毛党”发现,在一次成功的、满足门槛的优惠券使用请求中,可能有一个隐藏的参数,例如 `coupon_detail = {"id": "ABC12345", "discount": 100, "threshold": 200}`。他们可能通过工具,将 `threshold` 修改为 `0` 或直接去掉,或者用一个本身就是100元无门槛的券的 `coupon_id`。如果服务器端没有进行严格的比对和二次校验,就可能导致漏洞被利用。
Scenario 3 (API接口缺陷): 用户通过抓包发现,拼多多在展示“我的优惠券”时,会请求一个接口 `/api/get_user_coupons?user_id=123`,返回了包括 `coupon_id` 和 `discount_amount` 在内的列表。但当用户在购物车结算时,实际生效的优惠券信息可能由另一个接口 `/api/checkout_submit` 发送,且这个提交接口对 `discount_amount` 的验证不够严格,或者直接信任了前端传递过来的优惠券ID的“有效性”。
羊毛党行为是否具有法律风险?
“羊毛党”行为是否具有法律风险,取决于其行为的 性质、规模、目的以及对他人造成的损害程度。通常情况下,区分以下几种情况:
1. 利用平台正常活动获取优惠,不超出平台规则:
不具法律风险: 如果“羊毛党”的行为仅仅是利用平台提供的正常促销活动,如新用户注册奖励、邀请好友奖励、签到积分兑换优惠券等,并且在平台规则允许的范围内操作,例如注册多个账号(但仅限个人合法拥有且不违反平台注册协议的)获取新用户优惠,那么这种行为通常被认为是“钻平台规则的空子”,更多的是一种商业策略的利用,一般不构成违法。
2. 利用平台漏洞(Bug)获利:
可能具有法律风险,尤其是在特定情况下:
非法获取计算机信息系统数据/功能: 这是最核心的法律风险点。如果“羊毛党”的行为被认定为“非法侵入、非法控制计算机信息系统”,或者“非法获取、修改、删除、增加计算机信息系统中存储、处理或者传输的数据,或者采取其他办法,对计算机信息系统功能进行干扰,造成严重后果的”,则可能触犯《中华人民共和国刑法》第二百八十六条 破坏计算机信息系统罪。
关键在于“漏洞”的性质: 如果漏洞是显而易见的(如一个公开的优惠券码),或者仅仅是平台配置错误,而行为人只是正常使用,可能不构成犯罪。但如果是通过技术手段主动挖掘、利用、传播漏洞,并且行为超出合理使用范围,尤其是利用漏洞进行牟利,则风险会大大增加。
“严重后果”的界定: 这里的“严重后果”是一个量刑的考量因素,例如导致平台经济损失巨大(100元无门槛券的大规模泛滥就可能构成)、系统瘫痪、数据被窃取等。此次拼多多事件的性质,可能会让监管和司法机关更倾向于认为这是对系统功能的“干扰”或“非法控制”。
侵犯财产罪(间接): 虽然不是直接盗窃,但通过非法手段获取远超应有价值的商品或服务,可能在性质上被视为一种间接的侵犯财产行为。
不正当竞争: 如果行为人通过技术手段获取不当利益,并可能对其他正常参与促销的用户或平台造成损害,也可能涉及不正当竞争的范畴,虽然这种情况在实践中较少直接以不正当竞争罪起诉“羊毛党”个人。
3. 批量注册、刷单、虚假交易等行为:
通常具有法律风险: 很多“羊毛党”会使用批量注册工具、模拟器、修改IP地址等技术手段来规避平台的监测。这种行为可能违反平台的注册协议和用户协议,并且如果涉及刷单、虚假交易,还可能触犯《中华人民共和国反不正当竞争法》中关于“经营者不得从事下列混淆商品或者服务的来源的虚假或者容易引起误解的宣传,欺骗、误导消费者或者相关公众”等规定,以及电商法等相关法律。
4. 传播漏洞信息:
可能具有法律风险: 如果“羊毛党”将发现的漏洞信息公之于众,或者出售给他人,并且这种行为可能导致更多人利用漏洞造成更大范围的损害,其行为的性质会更加恶劣,法律风险也会随之增加。
在拼多多100元无门槛优惠券漏洞事件中,“羊毛党”的法律风险主要体现在:
利用系统漏洞获取利益: 如果行为人积极主动地利用技术手段(如抓包、修改请求参数)绕过了拼多多优惠券系统的有效性验证,而不是仅仅偶然发现了平台配置上的错误并简单使用,那么其行为就更接近于“非法获取计算机信息系统数据、功能”。
大规模、有组织的行为: 如果存在有组织、大规模利用漏洞的行为,或者有证据表明行为人利用该漏洞牟取了巨额非法利益,那么其行为的恶劣程度和法律风险都会显著提高。
平台如何界定和追究: 最终是否构成法律风险,还需要平台报警、公安机关立案侦查、以及司法机关的最终判定。平台通常会优先选择通过技术手段限制漏洞,并可能通过民事诉讼追讨损失,但在极端情况下,触犯刑法的可能性也存在。
总而言之,虽然很多“羊毛党”认为自己只是在玩游戏,但当行为涉及到主动挖掘和利用系统漏洞,并且对平台造成了实质性的经济损失时,其行为的性质就会发生变化,法律风险也随之产生。平台此次漏洞的规模和性质,使得“羊毛党”的行为很可能被定性为对计算机信息系统的非法干预和数据获取,具有一定的法律风险。
网友意见
作为天天与羊毛党相爱相杀的风控从业者,昨夜我一夜没睡。
别问我干了啥,不懂薅羊毛策略的风控在我看来全都是没有实战经验的弱鸡。
昨夜整个羊毛世界都沸腾了。
先讲暴露了哪些问题,再讲追责。
1.在电商行业,对于无门槛券是非常非常重视的,因为不同于有门槛券(满多少减多少,创造GMV和毛利抵扣),某种程度上,无门槛券等同于送现金,所以针对无门槛券,必须有一系列的核身策略,保证这张券不能被相同的人所领取。
核身策略中最常见的就是不同账号出现了同一收货手机号,同一收货地址,同一历史行为,同一IP,同一设备ID,同一支付ID,LBS,资料血缘,关系网络等等等一系列策略,这些可以防范住最大批量的LOW比羊毛党和低端机刷党,是电商最常见基础防范手段。
但昨夜,拼多多暴露出来没有这套东西,或者说这套东西没有配置到这张券的ID上,因为直接用猫池+脚本API,就能批量自动操作,这也是巨额数字怎么在9小时内就被搞出来的,因为基本没有设置门槛。
2.由于无门槛券几乎等同于现金,所以除了核身策略,往往还有其他匹配的风控体系,例如单人领取金额上限(1个月内领券不得超过XXX元),例如券额限制(无门槛券不得高于单张10元),例如消费领域限制(不得用于购买Q币,话费,游戏充值等虚拟物品)等等等等,这一系列的策略的目的就是拦截灰产的变现体系以及追溯灰产身份,例如无门槛只能买实物,那么就必然要留收获地址,那么这个地址就可以做很多事情,即使是假地址。
而且实物发货的话,拼多多是来得及拦截发货和半路撤回的,我经历过这种大面积撤回包裹。
但昨夜,这一系列限制统统都没有,羊毛党的变现最看重的就是高流通性和赢通性的产品,例如Q币,话费,这些东西很容易就能洗干净变成现金,很多羊毛党都有专门的洗白通道,现在这个节点,速度快的羊毛党已经全部变现了。
3.即使1和2都没有,也应该有一整套监控体系,对于优惠券的流向以及流量监控,并且设置报警阈值,失效机制,熔断机制,这些风控和大数据都应该早就准备好的。
就算我上面说的实现起来需要时间,那么就基础电商平台该有的商品销售TOP10,品类TOP10这样的可视化数字大盘也该有吧?肯定第一时间就发现就TM这些Q币话费卖的好,GMV出现同比环比的各种异常。
但是也没有,这个东西居然是被研发因为并发异常先发现的。
根据123,透露出来的问题是,优惠券设置逻辑没有过大脑,高风险业务无风险意识,风控交易与反欺诈策略缺失,数据监控体系及熔断机制缺失,要么是拼多多的风控没脑子,要么就是业务驱动,逼的风控不敢多讲话,这不奇怪,电商公司都是业务驱动,GMV是爹妈,风控这种挡GMV的角色往往被业务踩在脚下摩擦。
4.说完风控,再看看其他部门。
这张券是凌晨1点上线的,无门槛,大面额,全品类通用,假使这张券真的应该存在,那么,这种券的上线难道没有经过多级审批么?测试没有测出来吗?上线后没有至少120分钟的持续观察效果吗?
整个系统上线流程都有问题,运行监控也是缺失。
相关的研发到测试到运维,都有很大的责任。
5.问了下内部的朋友,说是这张券是某人配置失误,系统自动上线。
那问题又来了,整个优惠券系统里面,对于券的条件限制(金额,门槛,适用范围)是缺失的,并且在券发布的时候,没有中间隔一层预发环境来做缓冲,也没有做流量测试,就能直接上生产环境?上了也没有持续监控?
即使是配置的运营犯傻逼,但涉及到现金的业务如此草率,这部分研发是拼多多上买来的吗?
结合4和5,透露出的问题是,整个系统上线机制不合理,业务系统配置中没有加入风险校验环节,预发环境形同虚设,业务上线后的持续人工监控缺失。
考虑到拼多多引以为傲的高并发支持,我只能理解这条壮汉外功已经登峰造极,但内力大概是肾虚的小学生水平,这不意外,因为内功修炼是很难拿出去吹KPI的,所以大神程序员都不愿意做,都是能用就行的态度,这是血的教训。
6.我们来谈谈如何止损。
6.1已充出去的Q币和话费,如果还没有被羊毛党变现,那么也许还能追会一部分,QQ可以直接回收账号,三大运营商也能锁号扣费,但是这里面涉及到了很麻烦的一个问题。
那就是他们凭什么配合拼多多?因为这些交易都是拼多多认可后才让他们执行的,他们没有道理由着拼多多任性,腾讯爸爸可能会帮一把亲儿子,但是三大运营商可未必会配合,当然联通由于混改加入了股东腾讯,所以联通可能会配合。
另外不知道拼多多和他们是怎么结算的,是像iphone代理一样实时结算,还是类支付宝的先资金池再按时结算。
如果是前者,那基本很难追回了,如果是后者,那就是一场惊天撕逼大战。
6.2拼多多肯定不会善罢甘休的,羊毛党深知这一点,所以才在薅够了之后公开这个BUG,期望把水搅混,法不责众。
这个BUG是夜里5点左右公布出来的,然后就是全民狂欢,这些狂欢的人,我们一般称之为肉机,就是真人,真机,真身份,真行为。
现在的情况是,假使拼多多报警,能否抓到这些羊毛党头子,作为攻防的老手,我想说的是可以抓,但前提是拼多多有足够多的人力物力往里面投,并且数据保留要足够精准。
如果拼多多的数据部门和运维部门傻逼到定时清缓存,或者设置了某个系统BUG直接重启的话,那就不用抓了,没数据你怎么追溯。
另外就是这些被刷的都是虚拟物品,就看拼多多能不能抓住他们变现的节点来追溯身份了,祝他们好运。
6.3这批羊毛党一定有法律风险,但是只是那批最low的会被逮住,最大的几个早就变现隐匿了,人家用的东西都是没法追溯的。
真正的反追溯不是隐藏自己,而是创造更多虚假的自己,这才是高手所为。
6.4不用担心拼多多破产,最终的实发金额,亏损金额,未追回金额等等一系列的数字没有那么夸张的,虽然金额不会特别天文,但是拼多多自己说的千万级也太糊弄人了。
还有买了拼多多股票的各位,下一个交易日见,对于电商而言,这么初级的错误很有可能会导致投资者信心丧失。
总结一下这个案子,拼多多是狂奔的超级独角兽不假,但在业务猛增的时候,内功没有修炼好,导致被一剑封喉。
原本就不该出现这种券,就算出现了也不该上线,就算上线了也应该被监控到,就算没有监控到也不该被同一批人领走,就算被同一批人领走也不该能应用于虚拟物品,就算能被应用于虚拟物品也不该9小时后才被制止,这其实不是一个问题,而是一系列问题。
这一系列不应该的阴差阳错,导致了这个巨额亏损,那么问题来了,这一系列问题下,拼多多的交易数字还可靠吗?之后美股怎么看这件事?这也是一场好戏。
内功一塌糊涂。
至于为啥不修内功嘛,一来修内功外人看不到,对外不方便吹逼讲故事,对内不利于个人晋升答辩(毕竟风控这种东西,除了金融领域,都很难量化成果),这种事情聪明人最不爱做了,可惜这只是小聪明。
二来嘛,很多电商为了讲故事,拉高估值,GMV可着劲儿注水,高层睁一只眼闭一只眼,很多运营恨不得管羊毛党叫爸爸,跪求他们来薅,反正羊毛薅完,GMV是特别好看,亏损是公司的,绩效奖金和升职加薪是自己的,所以何苦来哉?
对风控而言,最大的敌人,永远在内部。
这是风控的宿命。
————————————
一个关于拼多多后续操作的猜测:https://www.zhihu.com/question/309695100/answer/578474218
一个经常瞎JB说大实话,又特暴躁的公众号:半佛仙人(ID:banfoSB),看到了吗,我暴躁起来连自己都骂。
准确说来这同我们之前看到的一些案子本质上区别不大。就本案而言,我们可以考虑发散两个问题:
1、刑法如何打击网络黑产犯罪
2、所犯之“产”是否足以保护
关于网络黑产犯罪,海淀区人民检察院做过一个统计(至2018年6月):
2016 年 9 月以来,北京市海淀区人民检察院受理网络犯罪案件 450 件(1 076 人),其中审查逮捕 245 件(588 人),审查起诉 205 件(488 人),涉及 27 个罪名。
二、案件特征1. 低龄、低学历化犯罪主体呈现低龄、低学历化特征。犯罪普遍呈现年轻低龄化:1990 —1999 年出生的 221 人,占比 37.58 %;1980 —1989 年出生 283 人,占比 48.12 %;1970 年以前出生人数仅占 14.11 %。犯罪的行为人普遍学历较低:本科及其以上学历 82 人,仅占 21 %;高中、高职教育主体 68 人,初中、中专、小学等教育主体242 人,占 62.5 %。男性主体占较大比重,审查起诉案件中男性占比 77.66 %。
这某种意义上也比较符合我们对羊毛党的认识,关于为何主要是低龄化与低学历化。海检科技检察部的白检察官说出自己的心得是:境外黑客向境内人士,提供好了教程与程序,技术难度并没有我们想象的大。
而在我国现行刑法中关于计算机网络犯罪的条文主要在285-287条,其中在一般没有更特殊情况下,大多应用到了287条的提示性规定:
第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。
其它几罪都各有利用场景,但是在此碍于篇幅不多做叙述了,列图示之,有兴趣大家可以找来皮勇教授的《论新型网络犯罪立法及其适用》一文,其中对287条提示性规定以外的其他几罪都有叙述,下图所反应的只是众多网络犯罪的一些类型:
那么,第二个问题是:优惠券属不属于“诈骗”“盗窃”的保护范畴呢?
且看几个案例:
2015年2 月至 6 月间,黎某与他人合伙虚构“开元小菜”等33 家商户,与汉海公司签订《团购技术服务合作协议》,在无真实交易的情况下通过自买自卖并使用大众点评网优惠券的方式,骗取汉海公司 60 余万元。黎某分得赃款 40 余万元。法院判处黎某犯合同诈骗罪,判处有期徒刑二年,缓刑二年。
“店长盗充积分案”。江某在担任某商场专卖店店长时,偶然发现通过店内 POS 机买单可获得商场会员积分,退货时积分却不会扣减。根据该商场的会员卡积分规则,会员每消费1 元积1 分,积分可以兑换抵用券或者直接在消费中抵扣现金( 100 分抵现金 1 元) ,遂开始以上述方式盗取积分。江某盗取积分除自用外,还通过将积分兑换成积分87抵用券出售给他人,以及直接往他们提供的商场会员卡中盗充积分的方式牟利。截至案发时共往八张会员卡中盗充积分 4713 余万分,折合人民币 47万余元。判决认定: 江某以非法占有为目的,采用盗充商城积分的方式秘密窃取单位财物,数额特别巨大,其行为已构成盗窃罪。江某盗充积分的行为一完成,其盗窃行为即已既遂。对积分采取以何种方式兑现,并不影响盗窃罪名。盗充完的积分按一定比例折现,在商场购物时按人民币使用,与理论价值无关。判处江某犯 盗窃罪,判处 有期 徒刑十年
我国司法解释中并无专门针对积分、优惠券的意见(但据说快出来了),但对其它财产性利益如有价证券、银行卡、虚拟财物等有所规定。如在2013 年 4 月 2 日发布的《关于办理盗窃刑事案件适用法律若干问题的解释》中规定对于盗窃有价支付凭证、有价证券、有价票证的可构成盗窃罪。
相应的在网络犯罪上,最高人民法院公报案例“孟动、何立康网络盗窃案”将盗窃虚拟财产认定为盗窃罪,数额以现实对应的财产数额计算。总体来看,最高司法机关通过司法解释和指导案例肯定了财产性利益中的虚拟财产和债权可以成为财产犯罪的对象,损失则以实际损失或最终结果计。
据此,也有学者总结了我国处理网络财产安全犯罪的一些特点:
一是是否定罪存在争议,大量以积分、优惠券为对象的案件没有进入刑事司法程序。
二是犯罪对象认定一元化
三是损失认定呈现唯结果导向,在认定的时点上采最终时点,认定的数额与最终财物对应。
四是均认定为一罪,不讨论罪数问题。
因此,虽然这次大家薅羊毛是薅的“无门槛优惠券”,但这可能并不影响法律上对其的追诉。并且事实上所得优惠券已经用出,这与之前所发生了“利用首单优惠”都可能被以诈骗或是盗窃(视手段)等罪名定罪并无太大的差别。
所以qaq薅羊毛有风险,看着数额才是真
@王瑞恩 谢瑞恩大佬邀请~~(略有仓促,择机视情节的披露 再添补答案)
本文中ppt图来源自清风苑系列讲座
上限许霆(追究刑事责任),下限 airbnb(不追究),中间有个不当得利(通过民事诉讼挽回损失)。
解释一下,许霆案是发生在 2007 年的一起刑事案件。许霆发现了广州市商业银行一台 ATM 的一个系统故障,取 1000 块,实际只会在自己的账户里扣一块钱。发现这台「真 自动取款机」以后,许霆连续取款 5.4 万元,随后又和一名友人再次光顾,反复多次操作。许霆先后进行了 171 次取款操作,获得 17.5 万元。
此案经过一审 - 重审 - 二审 - 最高人民法院核准的程序,最终,许霆因盗窃罪成立被判处五年有期徒刑。许霆案引发了广泛社会争议,一种论调认为,许霆插入银行卡并输入取款金额和密码的行为,和正常使用 ATM 的其他银行客户没有区别,不应属于犯罪行为。对此,张明楷教授发表了《许霆案的刑法学分析》一文,进行反驳:
...对行为的评价是不能离开结果的 。离开了 “死亡 ”结果 , 不可能有 “杀人 ”概念。 换言之 ,一个行为是否属于杀人行为 ,不可能单纯从行为的外表作出判断, 而是要根据行为是否致人死亡以及是否具有致人死亡的危险性得出结论。基于同样的理由, 许霆的行为是否属于盗窃行为 ,不能单纯从其行为的外表作出判断,要根据其行为是否非法转移了银行对现金的 占有从而导致银行遭受财产损失得出结论 ...
(张明楷《许霆案的刑法学分析》,《中外法学》Vol.21, No.1(2009)pp.30 -56)
这也可以用来讨论金额极大的「羊毛党」行为:离开损失,单独评价行为外表和其他用户合法使用的行为相似性,有失偏颇。
--
这是上限,但随着许霆案引发的广泛社会影响以及司法实践的时代变迁,刑法在此类纯经济损失问题上正在表现出更多的谦抑性。
一种取其中道的方式,是通过民法中的「不当得利」加以调节。不当得利,有四个构成要件:
1、一方获得利益。这里也包含「消极利益」,即财产本应减少而未减少,所以获得折扣、优惠也在此列。
2、他方遭受损失:至于损失由拼多多还是移动运营商承担,会决定不当得利返还请求权的行使主体。
3、一方受益与他方受损之间存在因果关系,
4、以及一方受益并无法律上的原因。
在本事件中,前三个要素都很容易证明,至于是否存在法律上的原因,要结合具体用户协议和产品形态进行讨论。从问题描述来看,成立不当得利的可能性很大,拼多多没有向用户重复发放大量优惠券的真实意思表示,「羊毛党」用户也有理由意识到这不是正常进行的交易行为。在此基础上的收益缺乏法律上的原因。
--
至于下限,则类似于今年初 Airbnb 的支付货币种类 bug:
有用户发现,在 airbnb 的支付界面更改货币种类,实际需要支付的金额数字没有变化。这样一来,100 津巴布韦币可以用来支付 100 美元的订单,这个 bug 也在短时间内让一些用户尝到了甜头。有网上讨论称 airbnb 并未强制取消通过这种方式低价「薅」到手的订单,也未见有相关用户被追究法律责任的报道。
对羊毛党的容忍,可能是出于采取法律手段的成本考量,可能是出于公关和维护企业形象需要,也可能是因为企业购买了对此类特殊情况的保险。
拼多多羊毛事件目前信息有限,这里只介绍一些可能的发展方向,或许能成为本年度电商相关法律和营销经典案例。
风控行业今天达成的一致认识是:拼多多事件也许会让更多的互联网公司认识到风控的重要性,尽管代价是巨大的。
当业务极速扩张时,企业只关注业务的增长曲线,而容易忽视业务安全的建设,当营销活动被黑产团伙”截胡“时,才意识到业务安全防控的重要性。这也是安全行业常被人戏称“不出事的时候没人关注,一出事大家都上心”的原因。
话说回来,此次事件尚未有官方公布的事件细节,但从市面上已有的信息来看,拼多多事件凸显了业务管理中至少两个方面的问题:内控机制可能不严格,导致过期活动的优惠券未下架,让用户以及别有用心的团伙找到了入口;同时,拼多多可能也没意识到多层风控体防护的重要性,从而在薅羊毛事件大批量发生后,没能及时察觉、及时修复,从而使得损失进一步扩大。
类似拼多多今天面临的风控漏洞只是互联网企业业务风险的一角,那么企业究竟应该怎样防范此类营销活动的风险,减少经济损失呢?
顶象反欺诈技术专家做了一个很形象的比喻:“反欺诈就跟塔防游戏一样,需要层层设防,才能有效防范”,一个“全副武装”的互联网企业业务平台应该是这样的:
有风险管理意识,并建立营销反欺诈体系。在策划营销活动的时候,就应具备风险管理意识(谁能想到一张过期的100元优惠券竟然能引发上千万元的“血案”?!)需要考虑到营销活动规则与技术之间的配合,将业务纳入到营销反欺诈体系的保护之下。今后可能很多的互联网公司在做大面积营销投放时,都要去和公司的风控部门合作,全盘考虑活动期间存在的各类风险是否已提前防控。
及时部署专业的风控解决方案。专业、完整的风控解决方案无论是营销作弊、刷红包、薅羊毛、还是推广作弊等欺诈风险都要考虑到。基础一些的业务安全防范需配置如App加固和专有虚机源码保护,防范电商客户端、H5、Web被破解入侵,防止攻击者通过端口漏洞进行批量注册、批量登录、批量抢单等,还可以通过安全SDK保障电商客户端、存储数据以及数据传输的加密等。复杂的一些的业务场景如互联网金融等还会需要配合实施决策引擎,及时发现各类风险操作,并通过验证手段进行有效拦截,在企业业务有需求的情况下,还会引入智能模型平台建立符合业务场景的风险模型,进一步提升风控效果。
综上,互联网企业的业务即是营收的主要入口,也是风险的直接来源。通过技术手段做异常风险的核验与阻断是非常非常非常重要的!只有预先具备风险防范意识,才能在风险来的时候,最大限度降低损失。
什么?你还要问我“羊毛党”是否有法律风险?
今天这个案例里出现的“薅羊毛”已经不是我们理解的消费者参与企业主动让利的营销,而是黑灰产利用企业的业务漏洞,借助技术手段,批量抢夺原本属于用户的优惠和福利,甚至还有再转售进行获利的嫌疑,所以这类行为肯定是违法的,这个点上应该没有争议。
拼多多的声明中提到已经报警。顶象技术反欺诈专家总结过,黑灰产的行为在法律主要涉及四部分:
1、通过假冒身份、虚假注册、修改软件等手段获利,都以非法占有为目的,则可能构成盗窃或诈骗。
2、虚构事实、假冒身份、使商家产生错误的认识而主动把钱打给”毛党羊是诈骗行为。3、购买和冒用他人的身份信息涉及违法。
4、涉嫌滥用公民信息。
以上违法行为的惩罚措施,在《网络安全法》、《刑法》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等有明文规定。
针对用户信息的保护,去年6月1日实施《网络安全法》第四十二条有明文规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施。所以,网络运营者有保护个人信息的义务和责任。盗用他人身份证注册虚假账号涉嫌违反《中华人民共和国居民身份证法 》第十七条。
针对用户个人信息泄露或被窃取的问题,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中规定,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;应当认定为刑法第二百五十三条之一规定的“情节严重”。
“刑法第二百五十三条之一规定”是这样写的:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
类似的话题
-
如何看待拼多多出现 100 元无门槛优惠券的漏洞?拼多多出现 100 元无门槛优惠券的漏洞,这一事件在网络上引起了广泛关注和讨论。从不同角度来看,可以有以下解读:从消费者角度: 惊喜与狂欢: 对于部分消费者来说,这是天上掉馅饼的好事。他们可以以极低的价格甚至免费获得商品,体验到“薅羊毛”的乐趣和满足............. -
上海百余小区惊现国家二级保护动物“貉”,是喜是忧?如何共处?近来,上海的居民们在日常生活中迎来了一些意想不到的访客——“貉”。据统计,上海已有超过100个小区出现了这种国家二级保护动物的身影。这不禁让人好奇,为何这种原本栖息于野外的生物会如此广泛地出现在我们生活的城市之中?又该如何与它们和谐共处?这.............
-
日本多地出现无法确认感染路径的病例,确实是当前疫情一个令人担忧的侧面。这并非什么新鲜事,在病毒传播过程中,尤其是当社区传播达到一定程度时,总会有部分病例难以追溯到明确的感染源。这种情况说明,病毒可能已经在我们看不见的地方悄悄蔓延,并且可能存在一些传播链是我们尚未发现的。无法确认感染路径病例的出现,意.............
-
最近一些地方出现的阳性病例,其背后是否存在故意传播新冠的嫌疑,这确实是一个让人非常不安和愤怒的话题。在过去的几年里,我们经历了太多关于病毒传播的苦痛,对任何可能影响公共健康安全的行为都应该高度警惕。如果说“涉嫌故意传播”,那背后牵涉到的事情就不仅仅是简单的感染,而是带有明确的主观恶意。从法律和伦理的.............
-
“梓涵提问李雪琴”的广告牌出现在北上广多地,这事儿,真是有点意思,也挺值得说道说道的。你想啊,这年头,广告花样那是层出不穷,但能让人看完,嘴角忍不住带点儿笑意,甚至还想拍张照发朋友圈的,就不多了。这“梓涵提问李雪琴”的广告牌,就属于后者。它为什么能在一众的洗脑式广告、炫技式广告里脱颖而出,吸引咱们的.............
-
济南市盖世冷库进口冷冻食品外包装出现新冠监测阳性事件,无疑是近期国内疫情防控中一个令人警惕的信号。这不仅仅是一个孤立的事件,更反映了当前全球疫情形势的严峻性,以及我们在冷链环节仍需高度警惕和严密防范的必要性。事件的出现与影响当济南市盖世冷库的进口冷冻食品外包装上检测出新冠病毒核酸阳性时,首要的反应是.............
-
山东和浙江监狱出现多位新冠确诊病例的情况,无疑是一个非常令人担忧的公共卫生事件,也暴露了在高度封闭的监狱环境中,疫情防控的复杂性和严峻性。公众对此事普遍感到震惊和关切,希望了解事情的来龙去脉以及目前的应对措施。事情的经过与令人担忧的细节:从媒体报道和官方通报来看,山东省的几起监狱疫情主要集中在济宁监.............
-
东航 MU5735 客机坠毁,这无疑是近期最令人痛心的一则新闻。当我们沉浸在哀悼和对生命的敬畏之中时,网络上却出现了一些令人费解的现象——多位自称“未登机”的“幸运儿”突然冒头。这背后,究竟隐藏着怎样的信息,又该如何理性看待并保持应有的心态?“未登机”的“幸运儿”:动机与解读首先,让我们来尝试理解这.............
-
520 Epic Games Store 首次在中国市场启用人民币结算,这确实是一个值得关注的动态,尤其是它带来的游戏价格“跳水”现象,这背后涉及多方面的考量和影响。首先,我们来拆解一下这件事的几个关键点: 520 Epic Games Store(EGS)的举动: 这是一个重要的信号,表明 E.............
-
卫龙辣条作为中国知名的辣条品牌,其在食品安全抽检中出现多个产品不合格的问题,引发了公众对食品安全、企业责任和监管体系的广泛讨论。以下从多个角度详细分析这一事件的背景、原因、影响及应对措施: 一、事件背景与抽检结果1. 卫龙辣条的市场地位 卫龙辣条(由卫龙食品有限公司生产)是中国辣条市场的头部.............
-
5月10日凌晨,重庆一名外科主任在值班期间遭遇不幸,被砍伤导致肺部破裂,这桩事件再次将人们的目光引向一个令人心痛的现实:医护人员的安全问题,以及近期频发的恶劣伤医事件。这已经不是孤例,而是正在形成一种令人担忧的趋势。要理解这一切,我们需要剥开层层表象,深入探究其背后的原因。重庆外科主任遇袭事件:一个.............
-
山姆会员店下架新疆产品后引发的“退卡潮”是近年来中国社会在消费主义、民族议题和企业社会责任之间矛盾的缩影。这一现象背后涉及消费者心理、舆论压力、企业策略、供应链安全、民族政策等多个层面的复杂互动,可以从以下几个角度详细分析: 1. 消费者心理:道德压力与品牌信任危机 民族议题的敏感性:新疆问题长期是.............
-
2月9日《原神》的海灯节答谢活动,确实让不少玩家经历了一场从惊喜到无奈再到哭笑不得的奇特旅程。简单来说,就是大家期待的答谢奖励因为一个bug没能正常发放,系统在发现问题后又迅速进行了修复,但这一波操作留下的体验,真是让人回味无穷。咱们就从头捋一捋这事儿。海灯节,是《原神》每年都会举办的盛大节日,类似.............
-
看到法国、英国、西班牙等西欧多国近期疫情出现反弹,确实让人有些担忧。这并不令人意外,毕竟病毒的传播能力、人群的免疫力以及防控措施的调整,都是影响疫情走向的关键因素。要全面看待这个问题,我们需要从几个层面来分析。首先,为什么会出现反弹? 病毒本身的变异与传播特性: 新冠病毒一直在变异,新出现的变异.............
-
最近一段时间,确实出现了一些比较引人关注的案例:一些朋友在出发前,在国内连续做了好几次新冠病毒核酸检测,结果都是阴性,然而到了日本,入境检测时却被查出阳性。这种现象确实让不少人感到疑惑和担忧。咱们就来好好聊聊这到底是怎么回事,以及可能的原因。首先,咱们得认识到,新冠病毒的检测,尤其是核酸检测,虽然是.............
-
2020年美国大选,确实让不少原本信心满满的民调机构尝到了“滑铁卢”的滋味。回顾那段时期,你会发现,不仅是某些个体民调出现了偏差,而是相当一部分主流民调机构在关键时刻,似乎都集体“失灵”了。这背后究竟是怎么回事?咱们不妨掰开了揉碎了聊聊。首先,最直观的问题就是,很多民调在关键摇摆州的预测上,出现了与.............
-
最近几年,玩《英雄联盟》的朋友们肯定都感觉到了,以前我们认知里那些只属于上路的“莽夫”们,像是蛮王、诺手、鳄鱼、剑姬,甚至是塞恩和慎,现在时不时就会出现在中路晃悠,而且还挺有模有样,打得对面的中单是叫苦不迭。这到底是为啥?这可不是什么偶然,而是游戏环境变化和英雄设计思潮共同作用下的结果,咱们就来好好.............
-
10 月 13 日,多所大学校园里流传着一个令人不安的消息:一些课堂上出现了疑似“O 泡果奶病毒”的事件。这个消息像一颗石子投进平静的湖面,瞬间激起了层层涟漪,在学生和家长中引起了广泛的关注和担忧。事件的起因:据一些零散的报道和学生在社交媒体上的讨论,事件似乎是从某所大学的某个课堂开始的。有学生反映.............
-
看待体测对体操比赛的影响,这确实是一个复杂且值得深入探讨的问题。当看到全国体操锦标赛决赛现场出现低难度动作,并且有太多运动员因体测被淘汰,我们很难不产生疑问:体测,这个原本为了保障运动员健康和选拔人才的机制,是否正在走向它的反面,影响了比赛的公平性?体测的初衷与现实的碰撞首先,我们得明白体测的设立本.............
-
关于浙江大学玉泉校区麦斯威餐厅多位同学就餐后出现腹泻发热并被隔离的事件,这确实是件令人担忧的事情,也引起了很多人的关注。作为旁观者,我们可以从几个角度来理解和看待这件事:1. 事件本身:食品安全是底线首先,这件事情的核心在于食品安全。无论是哪里的食堂,食品安全都应该是绝对的底线。当多位同学在同一家餐.............
本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度,google,bing,sogou 等
© 2025 tinynews.org All Rights Reserved. 百科问答小站 版权所有