拼多多100元无门槛优惠券信息

相信不久之前，大家也都被拼多多的100元无门槛优惠券信息刷爆了。回想不久前东航的“乌龙指”，货币结算bug，互联网的盛宴自然离不开分得一杯羹的羊毛党。只是这次被跟踪的上市公司痛不欲生，拼多多直接报警了。笔者有幸参与了这个号称百亿的大项目，从产品流程上回顾了拼多多的风控漏洞。

回顾事件

一天足够吃一年。1月20日凌晨1点到9点30分，一则关于拼多多100元无门槛优惠券刷爆各大羊毛团的新闻。从通道到羊头，从羊头到羊毛党，层层铺开，一场“盛宴”开始了。不限设备、不限IP、不限账号，每户送100元无门槛优惠券。这个清晨注定是躁动不安的，卡商、码接入平台、软件商、羊毛党，整个黑色产业链都在疯狂运转。

截至20日上午9点，拼多多工作人员上班后开始堵漏洞。21日9时30分左右，全平台取消领券入口基本完成，禁止使用无门槛券。网传平台估计损失上千万。事故发生后，拼多多冻结了大量丢失的虚拟物品，并要求商家停止对已转为实物的订单进行快递配送，将损失控制在百万以内。

在这起事件中，或多或少暴露出拼多多在企业的战略流程、技术保障和内部风控保障等方面存在一些问题。针对此次事件，我们进行了逆推，重现了BUG优惠券的生命过程，对每一个步骤进行了拆解分析，从中吸取教训，为下一步业务流程的完善打下坚实的基础。

重现BUG优惠券生成业务流程

首先是BUG券的生成。本次事件最大的问题在于优惠券的无门槛设置。现在一些规模较小的电商，或多或少都会设置一些防作弊促销的门槛。我们常见的无门槛优惠券是电商为了促销产品而设置的一种优惠券。虽然他们经常标榜“无门槛”，但在实际使用中却设置了很多门槛，比如要求新的户口（这包括新的身份证、新的手机号码甚至新的设备ID），所以我们常说“没有门槛”是最大的门槛。

BUG券从产生到使用，又是什么时候诞生的，理论上外人是不知道的，所以是什么导致了无门槛券的信息泄露，事件裂变，最后在各大羊毛团之间疯狂流传。

1、BUG券的产生和推出可能存在的漏洞

（1）技术支持环节存在漏洞

SA系统工程师在更新代码时，没有对前后代码的变更进行风险提示，或者工程师在得到一些认可后匆忙进行了在线更新操作，没有对变更后的代码进行严格的审核. 导致最后一个特定的优惠券代码被更新到实时服务器。

（二）企业内部业务流程存在漏洞

优惠券必须在某些特定链接的后台系统的优惠券模块中生成。由于一些特殊场景的需要，没有检查阈值、类别、用户组等有风险的规则。很多公司或多或少都有这样的事情。在这种情况下，在创建并使用此类优惠券后，必须将其销毁或封存。并在工作手册中记载或标注。人员变动交替时，避免因人员变动可能产生的过程风险。

2.BUG券外泄可能出现的问题

（一）技术支撑有待加强

羊毛党中的技校利用爬虫收集拼多多平台所有的优惠券信息，通过数据筛选，轻松无门槛地找到已有的优惠券信息。加强技术支撑，实现后台技术防护安全墙。当“安全墙”被攻击或进入时，增加预警机制。

（二）企业内部管理存在问题

拼多多部分员工泄露优惠券信息，应配合羊毛党谋取不正当利益。在此情况下，有必要加强企业内部管理，适当增加企业审批程序，依法处理此类员工。

3、BUG券传播裂变过程中风险监控的缺陷

未实施实时风险监控。这件事发生在凌晨，微信群和QQ群里已经疯传了。甚至早上8点，笔者甚至看到了朋友圈里分享的简报。这也说明拼多多没有做好实时风险监控，对大量地方的羊毛党举报系统没有自己的眼睛，直到9点30分才进行处理早晨。

至于整个事件的裂变拼多多教程，如果用一个词来形容，那就是疯狂。看来，钱确实是裂变的最大推动力。

4、发现bug后的补救措施

笔者记录，当时比较准确的补救时间应该是早上9点30分左右。先是关闭了领券地址，防止用户继续领券，然后是无门槛券失效，让已经领券的用户无法使用BUG券购买产品。结算，同时与拼多多所有三方商户沟通，要求商户不得发货使用无门槛优惠券的订单进行订单结算。直至下午，无门槛订单全部取消，领取优惠券的用户账户中的优惠券也被删除。

从事件补救的响应速度来看，拼多多平台虽然没有第一时间发现BUG券，但在后续处理过程中的补救措施还是比较到位的。大部分账户被停牌，并没有造成更大的二次利差，一定程度上挽回了损失，让原本预估的几千万的损失最终降到了几百万的可承受范围内。这也是我们在风险管理方面可以向拼多多平台学习的地方。

当然，无论拼多多事后付出了多少努力，挽回了多少损失，减少了多少影响，我们必须清醒地认识到，这是一种补救措施，面对风险，最重要的还是要规避风险。

卫报网络毛线党

你问我有没有办法彻底根除羊毛党，我觉得以后可能有，现在肯定没有。

常见风控防被套的数据风控如下：

账户信息：身份证、预留银行卡、手机号等；设备信息：设备IMEI码、序列号、SIM卡号等；网络信息：SSID值、Mac地址等。

从信息采集层面，我们知道很多信息来自App本身，从设备中获取。如果我告诉你这些可以伪造怎么办？

技术流羊毛党已经找到了这类模型对应的方法，如下图：

作弊与反作弊始终是斗争与抵制。要想建立健全制度和规章制度，就必须把产品做的接地气，深入群众，深入羊毛党的深处。

史上惊人的反作弊案例：

1929年以前，美国证券市场没有健全的法律和监管体系。第一次世界大战后，美国的经济繁荣吸引了大量投资者。他们只是梦想着发财，没有考虑到当时股市失控和股市操作舞弊的风险。1929 年股市崩盘，到 1932 年纽约证券交易所市值从 890 亿美元跌至 150 亿美元。

为了挽救公众对资本市场的信心，让经济复苏，美国国会于1934年制定了《证券交易法》。为了让《交易法》顺利通过海关，美国政府也做出了很多让步，最大的让步是SEC的成立。美国证券交易委员会的第一任主席是当年华尔街最大的做市商之一。

以后我要好好利用以前的违规经验，成为证券行业的违规大杀器。就连主张加强监管的兰德斯和道格拉斯也被聘为副手。道格拉斯是第二任主席，兰德斯是第三任主席。

对了，他还有一个儿子，名字叫约翰·F，非常有名，我们常称他为肯尼迪总统。

重建整个事件流程后，我们可以看到一些问题。核心本质无非是业务流程存在漏洞，缺乏风控意识。所以，在需要做整体风控的时候，所有合伙人形成跨部门、跨团队的反作弊风控意识是非常重要的。

所以，风控部门在做风控的时候，除了要配合BI大数据部门，还需要配合业务团队来策划用户增长和用户推广的活动，以及可能存在的风险隐患。业务层面。使每个人都具备识别风险、预警风险、监测风险、应对风险的基本意识和一定的能力。

作为一个羊毛党作者，给大家提三点小建议 1.数据异常预警

数据异常预警一般包括两个方面，一是价格异常预警，二是产品销量预警。

（一）价格异常预警

这个功能目前在阿里巴巴电商后台已经比较完善了。天猫淘宝将原有的叠加优惠券模式改为平行优惠券模式。一段时间内，运营乌龙事件频发，直接导致用户花费十几元甚至几元购买价值几十万元的产品。货，直接损害了商家的利益。

按照淘宝的规定，订单一旦创建，也就代表了一份合同，商家不得不延迟发货或取消订单。由于规则的变化，部分商家没有重视，直接导致了巨额损失。（可以参考作者之前的文章双十一的产品思考，水货券逻辑下很容易用完商家）。目前这个价格警示已经完善，估计以后更难出现标价错误的产品。

(2) 产品销售警示

做过电子商务的人都知道，成熟系统下的产品销量是周期性变化的。除重大促销活动外，正常日常营销体系下的产品销量不会有明显变化。当一个产品在非正常状态下突然在短时间内大量销售时，一定是受到了某个消息的影响，比如“非典买盐”等特殊情况。如果不是，那么很有可能是风控失控了。

2.创建个人信息白名单

目前黑产业太多，利用信息不对称、伪造信息甚至买卖身份信息。彻底铲除违法生产是一项长期、长期的任务，绝不是一家企业可以办到的。但是我们做一个用户白名单，我觉得理论上是可以的。

这里常见的商业手段一般是推出XX 服务，提供其他公司获取其他公司信息，并整合到自己的大数据中，不断丰富个人信息白名单。对于中小电商来说，这显然是一项艰巨的任务。中小企业的痛点无非就是用户基础薄弱，资金有限。如果能跟上苏秦的潮流，实施六国合一战略，共享用户信息黑白名单拼多多教程，消除各个信息孤岛，相信整个市场环境会越来越好。

3、优化企业内部风险控制流程

增加审批机制。凡是涉及“钱”的经营活动的策划，都必须在“面向群体”方面报批。项目活动结束后，必须完成项目的收尾工作。

任何市场活动都有预算，预算由很多方面组成。对于一个企业来说，营销战略代表着未来。所以我们看到的各种黑客的成长和裂变，本质就是花钱买当前的口碑和口碑，为以后的反馈打下基础。

那么有利益就必然有灰色生产，这是必然的。所以我们能做的就是尽可能通过企业内部的审批流程机制来控制风险的发生和风险的扩散。

本文首发于@四月春波 人人都是产品经理。未经许可禁止转载。

题图来自网络

给作者打赏，鼓励TA抓紧时间创作！

欣赏