從產(chǎn)品流程上,復(fù)盤拼多多的風(fēng)控漏洞

2 評(píng)論 24172 瀏覽 134 收藏 15 分鐘

相信前不久大伙兒都被拼多多的100元無(wú)門檻優(yōu)惠券信息刷爆了?;叵肭安痪玫臇|航“烏龍指”,Airbnb貨幣結(jié)算BUG,互聯(lián)網(wǎng)的盛宴自然離不開分一杯羹的羊毛黨。只是這次薅的上市公司都疼了,拼多多直接報(bào)警了。筆者有幸參與了這個(gè)據(jù)說上百億的大項(xiàng)目,從產(chǎn)品流程復(fù)盤拼多多風(fēng)控漏洞。

事件再回顧

薅上一天夠吃一年。1月20號(hào)凌晨一點(diǎn)至9點(diǎn)30分,一則關(guān)于拼多多100元無(wú)門檻優(yōu)惠券的線報(bào)刷爆了各大羊毛群。從渠道到羊頭,從羊頭到羊毛黨,層層傳播,一場(chǎng)的“盛宴”開啟了。不限設(shè)備不限IP不限賬號(hào),每戶可領(lǐng)一張100元無(wú)門檻券。這個(gè)凌晨注定不平靜,卡商、接碼平臺(tái)、軟件商、羊毛黨,整個(gè)黑產(chǎn)產(chǎn)業(yè)鏈瘋狂的運(yùn)轉(zhuǎn)。

截止20日上午9時(shí)許,拼多多工作人員上班后開始堵截漏洞。21日9時(shí)30分左右,基本完成對(duì)全平臺(tái)作廢領(lǐng)券入口&禁止無(wú)門檻券使用。網(wǎng)傳平臺(tái)預(yù)估損失上千萬(wàn),事故發(fā)生后,拼多多平臺(tái)針對(duì)損失的大額變現(xiàn)的虛擬物品進(jìn)行凍結(jié)并對(duì)變現(xiàn)實(shí)物的訂單要求商戶停止派發(fā)快遞,把損失控制在了百萬(wàn)內(nèi)。

在這個(gè)事件中,或多或少都暴露出拼多多在策略流程、技術(shù)保障以及企業(yè)內(nèi)部風(fēng)控保障存在一些問題。針對(duì)該事件咱們做一次逆推去重現(xiàn)BUG優(yōu)惠券的生命流程,就每一步進(jìn)行拆解分析,從中汲取經(jīng)驗(yàn)教育為下一次業(yè)務(wù)流程的完善打下堅(jiān)實(shí)的基礎(chǔ)。

重現(xiàn)BUG券產(chǎn)生業(yè)務(wù)流程

首先是BUG券產(chǎn)生,本次事件最大的問題就是關(guān)于優(yōu)惠券無(wú)門檻的設(shè)置,現(xiàn)在稍微有點(diǎn)規(guī)模的電商在促銷反作弊上或多或少都會(huì)做一些設(shè)置性的門檻。我們常見的無(wú)門檻優(yōu)惠券是電商為了促銷商品設(shè)置的一種優(yōu)惠券,雖然往往宣稱“無(wú)門檻”,但是在實(shí)際使用上設(shè)置了很多門檻,比如必須新戶(這個(gè)新包含了新身份證新手機(jī)號(hào)碼甚至新的設(shè)備ID),所以我們常說“無(wú)門檻”才是最大的門檻。

從BUG優(yōu)惠券的創(chuàng)建到使用,以及誕生的時(shí)候,理論上外人是不知道的,那么是什么導(dǎo)致無(wú)門檻優(yōu)惠券的信息外泄,事件裂變,最后在各大羊毛群中瘋狂流轉(zhuǎn)。

1. BUG券產(chǎn)生并上線可能存在的漏洞

(1)技術(shù)保障環(huán)節(jié)存在漏洞

SA系統(tǒng)工程師更新代碼時(shí),對(duì)前后代碼變化的異動(dòng)未產(chǎn)生風(fēng)險(xiǎn)示警或者說工程師得到了某些批準(zhǔn)后便匆匆進(jìn)行上線更新操作,未對(duì)變更代碼做嚴(yán)謹(jǐn)?shù)膶徍?。?dǎo)致最后特定的優(yōu)惠券代碼被更新到正式服。

(2)企業(yè)內(nèi)部業(yè)務(wù)流程存在漏洞

優(yōu)惠券一定是在某些特定環(huán)節(jié)在后臺(tái)系統(tǒng)優(yōu)惠券模塊生成的。因?yàn)橐恍┨厥獾膱?chǎng)景需要,并未勾選門檻、品類、用戶群體等存在風(fēng)險(xiǎn)的規(guī)則。不少企業(yè)或多或少都會(huì)存在這樣的事,針對(duì)這種情況在創(chuàng)建這樣的優(yōu)惠券使用完畢后,必須進(jìn)行銷毀或封存。并將其記錄在工作手則或者進(jìn)行標(biāo)注。當(dāng)發(fā)生人員變更交替,避免發(fā)生因人員變換導(dǎo)致可能發(fā)生的流程風(fēng)險(xiǎn)。

2. BUG券外泄事件中可能存在的問題

(1)技術(shù)保障有待加強(qiáng)

羊毛黨中技術(shù)流派利用python爬蟲,采集到拼多多平臺(tái)所有的優(yōu)惠券信息,通過數(shù)據(jù)篩選輕易的發(fā)現(xiàn)了存在的無(wú)門檻優(yōu)惠券信息。加強(qiáng)技術(shù)保障,實(shí)現(xiàn)技術(shù)對(duì)后臺(tái)的保障安全墻,當(dāng)“安全墻”被攻擊或者進(jìn)入增加預(yù)警機(jī)制。

(2)企業(yè)內(nèi)部管理存在問題

拼多多內(nèi)部有員工外泄優(yōu)惠券信息,里應(yīng)外合,配合羊毛黨牟取不正當(dāng)利益。這種情況需加強(qiáng)企業(yè)內(nèi)部管理,適當(dāng)增加企業(yè)流程審批,針對(duì)這樣的員工進(jìn)行依法處理。

3. BUG券傳播裂變過程中風(fēng)險(xiǎn)監(jiān)控存在的缺陷

實(shí)時(shí)風(fēng)險(xiǎn)監(jiān)控未落實(shí),此次事件發(fā)生在凌晨,微信群、QQ群早已傳瘋了,甚至到早上8時(shí)許,筆者甚至在朋友圈看到分享的線報(bào)。這里也說明拼多多并未做好實(shí)時(shí)的風(fēng)險(xiǎn)監(jiān)控,在大量地方羊毛黨線報(bào)體系內(nèi)沒有自己的眼睛,直達(dá)上午9時(shí)30分才進(jìn)行了處置。

而整個(gè)事件的裂變,如果用一個(gè)詞形容就是瘋狂,看來金錢確實(shí)是最大的裂變驅(qū)動(dòng)力。

4. BUG發(fā)現(xiàn)后的補(bǔ)救措施

筆者記錄當(dāng)時(shí)較為精準(zhǔn)的補(bǔ)救時(shí)間應(yīng)該是上午9點(diǎn)30時(shí)前后,首先是關(guān)閉了領(lǐng)券地址防止用戶繼續(xù)領(lǐng)券,隨后對(duì)無(wú)門檻優(yōu)惠券進(jìn)行作廢使已領(lǐng)券的用戶無(wú)法使用BUG券進(jìn)行商品結(jié)算,并在同一時(shí)間溝通所有拼多多的三方商戶,要求商家不發(fā)貨訂單結(jié)算中使用無(wú)門檻優(yōu)惠券的訂單。直至下午,所有包含無(wú)門檻的訂單被取消,已領(lǐng)券用戶的賬號(hào)中的優(yōu)惠券被刪除。

從事件補(bǔ)救的響應(yīng)速度來看,拼多多平臺(tái)雖然未在第一時(shí)間發(fā)現(xiàn)BUG券,但在隨后的處理過程中補(bǔ)救措施相對(duì)得體,根據(jù)筆者線報(bào)可見的大批量將優(yōu)惠券價(jià)值變現(xiàn)為虛擬物的賬號(hào)大多都做封停處理并未造成更大的二次擴(kuò)散,一定程度挽回了損失,才能夠在最后將原來預(yù)估上千萬(wàn)損失降低至幾百萬(wàn)的可承受范圍。這也是拼多多平臺(tái)就風(fēng)險(xiǎn)處理方面值得咱們借鑒的地方。

當(dāng)然不論事后拼多多做了多少努力,挽回了多少損失降低了多少影響,咱們都得清晰的明白這是補(bǔ)救措施,面對(duì)風(fēng)險(xiǎn)最重要的依舊是避免風(fēng)險(xiǎn)的發(fā)生。

御守互聯(lián)網(wǎng)羊毛黨

你問我有沒有辦法完全杜絕羊毛黨,我想未來可能會(huì)有但現(xiàn)在絕對(duì)不會(huì)有。

常見的風(fēng)控防止薅羊毛的數(shù)據(jù)風(fēng)控如下:

  1. 賬號(hào)信息:身份證、預(yù)留銀行卡、手機(jī)號(hào)等等;
  2. 設(shè)備信息:設(shè)備IMEI碼、Android_ID、序列號(hào)、SIM卡號(hào)等等;
  3. 網(wǎng)絡(luò)信息:SSID值、Mac地址等等。

從信息采集層面,我們知道不少信息來自App本身從設(shè)備中獲取。如果我告訴你這些可以作假呢?

技術(shù)流羊毛黨早已針對(duì)這類模型找到了對(duì)應(yīng)的辦法,如下圖:

作弊和反作弊是一直斗爭(zhēng)抗拒的,想要筑好完善的制度和規(guī)則,咱們做產(chǎn)品必須得接地氣深入群眾打入羊毛黨深處。

歷史上驚人的反作弊案例:

1929年以前,美國(guó)證券市場(chǎng)沒有完善的法律和監(jiān)管制度。第一次世界大戰(zhàn)后,美國(guó)經(jīng)濟(jì)繁榮吸引了大批投資者。他們只做發(fā)財(cái)夢(mèng),不考慮當(dāng)時(shí)失控的股票市場(chǎng)的風(fēng)險(xiǎn)和股市操作中的欺詐。 1929年股市大崩盤來臨,到1932年美國(guó)紐約證交所的市值由890億美元降至150億美元。

為了挽救公眾對(duì)資本市場(chǎng)的信心,讓經(jīng)濟(jì)復(fù)蘇,美國(guó)國(guó)會(huì)1934年創(chuàng)建《證券交易法》。為讓《交易法》順利通關(guān),美國(guó)政府還作了不少讓步,最大讓步就是成立了SEC。SEC第一任主席是Joseph Kennedy,當(dāng)年華爾街最大莊家之一。

Joseph Kennedy在日后善用自己以往的違規(guī)經(jīng)驗(yàn),變成證券界違規(guī)者的大殺手。甚至聘任力主加強(qiáng)監(jiān)管的蘭德斯與道格拉斯 為副手。道格拉斯是第二任主席,蘭德斯是第三任主席。

對(duì)了,他還有一個(gè)兒子叫做John F. Kennedy特別有名,我們常稱呼他為肯尼迪總統(tǒng)。

在重建整個(gè)事件流程后,咱們從中可以看出一些問題所在,核心的本質(zhì)無(wú)外乎業(yè)務(wù)流程存在漏洞缺少風(fēng)控意識(shí)。所以當(dāng)需要做一個(gè)整體風(fēng)控的時(shí)候,跨部門跨團(tuán)隊(duì)讓全體小伙伴都形成反作弊風(fēng)控意識(shí)就十分重要了。

所以,當(dāng)風(fēng)控部門在做風(fēng)控時(shí),除了聯(lián)合BI大數(shù)據(jù)部門外,還需要即使協(xié)作業(yè)務(wù)團(tuán)隊(duì)在策劃活動(dòng)做用戶增長(zhǎng)用戶推廣時(shí),業(yè)務(wù)層面可能存在的風(fēng)險(xiǎn)隱患。使人人都有識(shí)別風(fēng)險(xiǎn)、預(yù)警風(fēng)險(xiǎn)、監(jiān)控風(fēng)險(xiǎn)、應(yīng)對(duì)風(fēng)險(xiǎn)的基本意識(shí)和一定程度的能力。

做為一名羊毛黨的筆者這里有三個(gè)小小的建議

1. 異常數(shù)據(jù)預(yù)警

異常數(shù)據(jù)預(yù)警一般包括兩個(gè)方面,一方面是價(jià)格異常預(yù)警,另一面是商品銷量預(yù)警。

(1)價(jià)格異常預(yù)警

這一塊功能阿里電商后臺(tái)目前做的較為完善。天貓?zhí)詫毟淖冊(cè)逃携B加優(yōu)惠券模式變?yōu)槠叫袃?yōu)惠券模式,曾在一段時(shí)間內(nèi)經(jīng)常發(fā)生運(yùn)營(yíng)烏龍指事件,直接導(dǎo)致用戶花費(fèi)十幾元甚至幾元購(gòu)買了原價(jià)值幾百上千元價(jià)值的商品,直接傷害到了商戶的利益。

根據(jù)淘寶的規(guī)則,訂單創(chuàng)建后也就代表了契約,商戶不得不發(fā)貨延遲發(fā)貨或者取消訂單。因?yàn)橐?guī)則的改變,有部分商戶未重視直接導(dǎo)致?lián)p失巨大。(可參考筆者之前的文章產(chǎn)品思維雙十一薅羊毛,平行優(yōu)惠券邏輯下也極易把商家薅廢)。目前這塊價(jià)格預(yù)警已經(jīng)完善,估計(jì)日后較難發(fā)生錯(cuò)價(jià)商品。

(2)商品銷量預(yù)警

做過電商的都知道在一個(gè)成熟體系下商品銷售量是具有周期性變化的,除了大促活動(dòng)外日常的正常營(yíng)銷體系下商品的銷量不會(huì)出現(xiàn)較大的變化。當(dāng)某一商品突然以非常態(tài)的狀態(tài)短時(shí)間內(nèi)大量銷售,那么一定是來自某一消息面的影響,比如“非典買鹽”等特殊情況。如果沒有,那么極有可能就是風(fēng)控失控的表現(xiàn)。

2. 創(chuàng)建個(gè)人信息白名單

目前太多的黑產(chǎn),利用信息不對(duì)稱、偽造信息甚至買賣身份信息。要想完全杜絕黑產(chǎn)筆者認(rèn)為是一件長(zhǎng)期的任重道遠(yuǎn)的工作,也絕不是一家公司可以實(shí)現(xiàn)的。但是咱們做一份白名單用戶,我認(rèn)為理論上是可以的。

這里常見的商業(yè)手段一般就是推出XX盾服務(wù),提供給其他企業(yè)獲取其他企業(yè)信息,整合為自己的大數(shù)據(jù)不斷豐富個(gè)人信息白名單。對(duì)于中小電商企業(yè)來說,這顯然是一件較為困難的事情,中小企業(yè)的痛點(diǎn)無(wú)外乎用戶數(shù)據(jù)基礎(chǔ)薄弱資金有限。如果能夠以蘇秦之勢(shì),行合縱六國(guó)之策,共享用戶信息黑/白名單,消滅一個(gè)個(gè)信息孤島,那么我相信整個(gè)市場(chǎng)的大環(huán)境會(huì)越來越好。

3. 優(yōu)化企業(yè)內(nèi)部風(fēng)控流程

增加審批機(jī)制。對(duì)一切涉及“錢”的運(yùn)營(yíng)活動(dòng)策劃,在“面向群體”上必須做上報(bào)審批,項(xiàng)目活動(dòng)結(jié)束后,做好項(xiàng)目收尾工作。

任何的市場(chǎng)活動(dòng)都有經(jīng)費(fèi)預(yù)算,預(yù)算的組成來自多方面,對(duì)于企業(yè)來說市場(chǎng)戰(zhàn)略代表著未來。所以才有咱們看到的各種黑客增長(zhǎng)以及裂變,本質(zhì)就是花錢買現(xiàn)在吆喝和口碑為日后的回饋打下基礎(chǔ)。

那么有利益就一定會(huì)有灰產(chǎn),這是不可避免的。那么咱們可以做的事情是,盡可能的通過企業(yè)內(nèi)部審批流程機(jī)制控制風(fēng)險(xiǎn)的產(chǎn)生以及風(fēng)險(xiǎn)的擴(kuò)散范圍。

 

本文由 @四月春波 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可,禁止轉(zhuǎn)載。

題圖來自網(wǎng)絡(luò)

更多精彩內(nèi)容,請(qǐng)關(guān)注人人都是產(chǎn)品經(jīng)理微信公眾號(hào)或下載App
Gonna_L
習(xí)慣損失 既往不戀
13篇作品 370255總閱讀量
03-276478 瀏覽
爆紅一年后,劉畊宏直播間怎么樣了?
10-207650 瀏覽
玩轉(zhuǎn)用戶增長(zhǎng)——用戶留存的秘訣(上)
02-1811368 瀏覽
中國(guó)的B2B SaaS市場(chǎng)怎么了?——重新認(rèn)識(shí)和塑造新的To B市場(chǎng)
07-095531 瀏覽
3年賣出1億臺(tái),小家電“頂流”,小熊電器如何布局私域運(yùn)營(yíng)?
09-281353 瀏覽
淘天抱團(tuán)微信:有限合作,各取所需
評(píng)論
評(píng)論請(qǐng)登錄

  1. 小哥哥好厲害,你可以去應(yīng)聘電商風(fēng)控產(chǎn)品啦!

    來自浙江 回復(fù)

    1. Product School 中國(guó)區(qū)leader 你好。

      來自浙江 回復(fù)