拼多多给羊毛党发年终奖背后的那些事
昨夜凌晨1点至上午10点,9个小时,拼多多出现了重大BUG,平台上可以无限制领取100元无门槛全场通用优惠券,大量羊毛党开始刷券,并且通知了大量的无知群众,所有接到人都参与到这场盛宴中。
被薅最多的是1元钱买100话费以及Q币。
最终损失是一个天文数字。
作为天天与羊毛党相爱相杀的风控从业者,昨夜我顶着酒劲,折腾了一夜没睡。
别问我干了啥,不懂薅羊毛策略的风控在我看来全都是没有实战经验的弱鸡。
昨夜整个羊毛世界都沸腾了。
先讲暴露了哪些问题,再讲追责。
1.在电商行业,对于无门槛券是非常非常重视的,因为不同于有门槛券(满多少减多少,创造GMV和毛利抵扣),某种程度上,无门槛券等同于送现金,所以针对无门槛券,必须有一系列的核身策略,保证这张券不能被相同的人所领取。
核身策略中最常见的就是不同账号出现了同一收货手机号,同一收货地址,同一历史行为,同一IP,同一设备ID,同一支付ID,LBS,资料血缘,关系网络等等等一系列策略,这些可以防范住最大批量的LOW比羊毛党和低端机刷党,是电商最常见基础防范手段。
但昨夜,拼多多暴露出来没有这套东西,或者说这套东西没有配置到这张券的ID上,因为直接用猫池+脚本API,就能批量自动操作,这也是巨额数字怎么在9小时内就被搞出来的,因为基本没有设置门槛。
2.由于无门槛券几乎等同于现金,所以除了核身策略,往往还有其他匹配的风控体系,例如单人领取金额上限(1个月内领券不得超过XXX元),例如券额限制(无门槛券不得高于单张10元),例如消费领域限制(不得用于购买Q币,话费,游戏充值等虚拟物品)等等等等,这一系列的策略的目的就是拦截灰产的变现体系以及追溯灰产身份,例如无门槛只能买实物,那么就必然要留收获地址,那么这个地址就可以做很多事情,即使是假地址。
但昨夜,这一系列限制统统都没有,羊毛党的变现最看重的就是高流通性和赢通性的产品,例如Q币,话费,这些东西很容易就能洗干净变成现金,很多羊毛党都有专门的洗白通道,现在这个节点,速度快的羊毛党已经全部变现了。
3.即使1和2都没有,也应该有一整套监控体系,对于优惠券的流向以及流量监控,并且设置报警阈值,失效机制,熔断机制,这些风控和大数据都应该早就准备好的。
就算我上面说的实现起来需要时间,那么就基础电商平台该有的商品销售TOP10,品类TOP10这样的可视化数字大盘也该有吧?肯定第一时间就发现就TM这些Q币话费卖的好,GMV出现同比环比的各种异常。
但是也没有,这个东西居然是被研发因为并发异常先发现的。
根据123,透露出来的问题是,优惠券设置逻辑没有过大脑,高风险业务无风险意识,风控交易与反欺诈策略缺失,数据监控体系及熔断机制缺失,要么是拼多多的风控没脑子,要么就是业务驱动,逼的风控不敢多讲话,这不奇怪,电商公司都是业务驱动,GMV是爹妈,风控这种挡GMV的角色往往被业务踩在脚下摩擦。
4.说完风控,再看看其他部门。
这张券是凌晨1点上线的,无门槛,大面额,全品类通用,假使这张券真的应该存在,那么,这种券的上线难道没有经过多级审批么?测试没有测出来吗?上线后没有至少120分钟的持续观察效果吗?
整个系统上线流程都有问题,运行监控也是缺失。
相关的研发到测试到运维,都有很大的责任。
5.问了下内部的朋友,说是这张券是某人配置失误,系统自动上线。
那问题又来了,整个优惠券系统里面,对于券的条件限制(金额,门槛,适用范围)是缺失的,并且在券发布的时候,没有中间隔一层预发环境来做缓冲,也没有做流量测试,就能直接上生产环境?上了也没有持续监控?
即使是配置的运营犯傻逼,但涉及到现金的业务如此草率,这部分研发是拼多多上买来的吗?
结合4和5,透露出的问题是,整个系统上线机制不合理,业务系统配置中没有加入风险校验环节,预发环境形同虚设,业务上线后的持续人工监控缺失。
考虑到拼多多拿来吹的高并发支持,我只能理解这条壮汉外功已经登峰造极,但内力大概是肾虚的小学生水平,这不意外,因为内功修炼是很难拿出去吹KPI的,所以大神程序员都不愿意做,都是能用就行的态度,这是血的教训。
6.我们来谈谈如何止损。
6.1已充出去的Q币和话费,如果还没有被羊毛党变现,那么也许还能追会一部分,QQ可以直接回收账号,三大运营商也能锁号扣费,但是这里面涉及到了很麻烦的一个问题。
那就是他们凭什么配合拼多多?因为这些交易都是拼多多认可后才让他们执行的,他们没有道理由着拼多多人性,腾讯爸爸可能会帮一把亲儿子,但是三大运营商可未必会配合。
另外不知道拼多多和他们是怎么结算的,是像iphone代理一样实时结算,还是类支付宝的先资金池再按时结算。
如果是前者,那基本很难追回了,如果是后者,那就是一场惊天撕逼大战。
6.2拼多多肯定不会善罢甘休的,羊毛党深知这一点,所以才在薅够了之后公开这个BUG,期望把水搅混,法不责众。
这个BUG是夜里5点左右公布出来的,然后就是全民狂欢,这些狂欢的人,我们一般称之为肉机,就是真人,真机,真身份,真行为。
现在的情况是,假使拼多多报警,能否抓到这些羊毛党头子,作为攻防的老手,我想说的是可以抓,但前提是拼多多有足够多的人力物力往里面投,并且数据保留要足够精准。
如果拼多多的数据部门和运维部门傻逼到定时清缓存,或者设置了某个系统BUG直接重启的话,那就不用抓了,没数据你怎么追溯。
另外就是这些被刷的都是虚拟物品,就看拼多多能不能抓住他们变现的节点来追溯身份了,祝他们好运。
6.3这批羊毛党一定有法律风险,但是只是那批最low的会被逮住,最大的几个早就变现隐匿了,人家用的东西都是没法追溯的。
真正的反追溯不是隐藏自己,而是创造更多虚假的自己,这才是高手所为。
6.4不用担心拼多多破产,最终的实发金额,亏损金额,未追回金额等等一系列的数字没有那么夸张的,不过买了拼多多股票的各位,下一个交易日见,对于电商而言,这么初级的错误很有可能会导致投资者信心丧失。
总结一下这个案子,拼多多是狂奔的超级独角兽不假,但在业务猛增的时候,内功没有修炼好,导致被一剑封喉。
原本就不该出现这种券,就算出现了也不该上线,就算上线了也应该被监控到,就算没有监控到也不该被同一批人领走,就算被同一批人领走也不该能应用于虚拟物品,就算能被应用于虚拟物品也不该9小时后才被制止,这其实不是一个问题,而是一系列问题。
这一系列不应该的阴差阳错,导致了这个巨额亏损,那么问题来了,这一系列问题下,拼多多的交易数字还可靠吗?之后美股怎么看这件事?这也是一场好戏。
内功一塌糊涂。
至于为啥不修内功嘛,一来修内功外人看不到,对外不方便吹逼讲故事,对内不利于个人晋升答辩(毕竟风控这种东西,除了金融领域,都很难量化成果),这种事情聪明人最不爱做了,可惜这只是小聪明。
二来嘛,很多电商为了讲故事,拉高估值,GMV可着劲儿注水,高层睁一只眼闭一只眼,很多运营恨不得管羊毛党叫爸爸,跪求他们来薅,反正羊毛薅完,GMV是特别好看,亏损是公司的,绩效奖金和升职加薪是自己的,所以何苦来哉?
对风控而言,最大的敌人,永远在内部。
这是风控的宿命。
---------------------------------------
公众号:半佛仙人(ID:banfoSB)
微博:半佛仙人正在装
知乎:半佛仙人
这是一个神奇的男人,你完全猜不出他会瞎JB写出什么,也不知道他会不会披着马甲在评论区带自己的节奏。
拼多多给羊毛党发年终奖背后的那些事相关推荐
- 发年终奖了,可以安心过个好年了~
大家好,我是对白. 年终了,很多同学和朋友都问我拿了多少年终奖... 比如上图,就是一位腾讯的同学和我交流了一下,据他说他们今年比较惨,年终奖大部分人都没拿满. 我们公司目前已经发放了年终奖,但由于今 ...
- 实习生有年终奖吗_“辞职,一定要赶在发年终奖前!”为什么我建议你一定要年前跳槽...
上周末,朋友告诉我他准备拿完年终奖就离职,回家过完年再去找新工作. 我赶紧劝他,要跳就早点跳,要不然就别跳,千万别等拿完年终奖了再去找新工作. 很多人都选择在年终的时候辞职,原因无非有两个,一来是想在 ...
- 华为否认提前发年终奖 网传消息实为销售激励计划
年底临近,何时能拿到年终奖令很多网友关注.近日网上热传华为提前发年终奖,刺激了网友们的神经.北京青年报记者昨天向华为公司证实,此乃华为荣耀手机销售激励计划,而并非外界猜测的年终奖颁发方案. 据了解,这 ...
- 公司裁员70%,小组从20个人降到5个人,年底公司耍无赖,全员打绩效C,就为了不发年终奖!...
年终奖写进合同,公司还能耍赖不给吗? 一位网友吐槽: 坐标小公司,公司裁员70%,自己组从20个人降到5个人.现在年底了,公司耍无赖,全员打绩效C,就为了不发年终奖!年终奖都是写进合同,说是15薪,如 ...
- 不发年终奖,可以告公司吗?
关注+星标公众号,不错过精彩内容 作者 | strongerHuang 微信公众号 | strongerHuang 今天,农历腊月二十八,还有多少老铁继续坚守在岗位上? 相信很多朋友都已经放假了,但继 ...
- 旷视三月份发年终奖有感
2021.12.8日旷视向其员工下发了<关于年度绩效工作与年终奖发放节奏的通知>,通知有两句话,一张时间表.形式上问题不大,但是结合旷视自身的环境,这个通知显得单薄而又冰冷. 背景: 20 ...
- 老板讲述:公司有钱,我为什么不发年终奖?
文章:深燃(shenrancaijing) 作者 | 苏琦 唐亚华 魏婕 金玙璠 黎明 周继凤 李秋涵 编辑 | 金玙璠 距离2021年春节还剩3天,你发年终奖了吗? 每到年末,员工开始搓小手满心期待 ...
- 前OPPO 员工控诉:离职时绩效为B,离职后被悄悄改成D,就为了少发年终奖!
离职前绩效为B,离职后发年终奖时却被改成了D,这就是一位前oppo员工的真实经历,来听听他的申诉: 本人是一个工作3.5年的oppo员工,离职后被改绩效,离职绩效为B,年终奖金却为D,多番申诉无果,实 ...
- 弘辽科技:拼多多礼品包怎么发?如何操作?
在拼多多上开店需要做的事情还是非常多的,不仅需要去做店铺的基础工作,还要做好推广,而推广也分为官方推广方式和其他推广. 比如大家常见的补单就是其他推广了,那么拼多多礼品包怎么发的呢? 拼多多礼品包怎么 ...
最新文章
- go通过thrift连接hbase_关于thrift协议改进畅想
- mysql重装远程服务未_MySQL远程连接丢失问题解决方法(Lost connection to MySQL server)...
- [蛋蛋无厘头日记]约会ing~~
- 华为回应“WIFI联盟撤销会员资格”:不会受个别组织影响
- DAM的内涵正在改变
- win11u盘安装报错怎么办 windows11u盘安装报错的解决方法
- 常见报错_mysql常见报错之SELECT list is not in GROUP BY clause
- linux awk '{print $2}' 用法
- char数组打印地址和内容;
- 诺基亚如何利用计算机上网,诺基亚E63的WIFI上网功能全教程
- Yii2.0 视频教程
- Spring实现统一捕获接口层异常与邮件警报
- 通过 Amazon EFS 对 NFS 文件系统权限进行细粒度控制
- java 整型常量_使用javap深入理解Java整型常量和整型变量的区别
- 怎么批量下载Onedrive分享文件_怎么用PS弄字幕文件 PS批量生成字幕制作教程
- 一份超详细的IBM公司JAVA基础面试题附答案以及解析(题库)
- 【日语学习】日语 N2 词汇核心动词 200 个
- matlab按点绘制网格
- arachni_web显示500,We‘re sorry, but something went wrong.
- ios开发---音乐播放器之怎么获取音乐列表
热门文章
- Foreign Language_english_感叹句
- IT职场: 选择外企利与弊
- CMMI特定目标(SG)和特定实践(SP)汇总
- 谷歌seo关键词怎么做?Google如何优化关键词
- Matlab中set函数的使用
- 如何从根本上克制自己在电脑上刷B站,专注学习(hosts文件)
- 如何确定Z检验的值(查正态分布表时要注意中间的数字都是面积,最左边一列和最上面一行都是Z值)...
- 老慜的A5作业——p5.js 动态、周期、随机、面向对象
- 嵌入式Linux工程师发展前景 嵌入式工程师待遇怎样?
- DeepHPV:一个用于预测HPV整合人类基因位点的深度学习模型