鉆漏洞“薅羊毛”賺100萬，安全人員要背鍋嗎？

近日，上海嘉定公安接到某網絡電商公司報案稱，發現公司網購平臺用戶中有存在利用服務漏洞“薅羊毛”的可疑交易，致使企業累計損失達100萬。通過梳理，民警最終鎖定并抓獲了王某、汪某等分散于多個省市的實施“薅羊毛”詐騙的20名犯罪嫌疑人。

那么問題來了，這家電商公司出現這么大的業務漏洞，業務人員自然是難逃罪責，但是安全人員是不是也會因此背鍋？

【圖源：陜視新聞官網微博】

隨著互聯網的迅猛發展和電子商務的興起，“薅羊毛”消費文化悄然興起。消費者們通過熟練運用各種平臺的紅包、滿減、折扣券等福利手段，使得購物變得更加經濟劃算。無論是線上購物平臺還是線下實體店，都紛紛推出各種吸引人的促銷活動，為消費者提供更多實惠。

然而，隨著“薅羊毛”逐漸成為一種趨勢，不可避免地出現了一些問題。一些不法分子利用虛假信息、詐騙手段等手段，通過“薅羊毛”牟取私利。

羊毛薅的好，牢飯少不了？

近年來，利用平臺漏洞“薅羊毛”的事件可謂是層出不窮。但靠漏洞蹭一些小紅包、優惠券滿足低價購物需求的“薅羊毛”行為，和利用漏洞套現、或與他人產生金錢交易以換取大額盈利的詐騙行為是有本質區別的。

得物bug部分商品全部9元

去年2月，有網友發現得物APP出現了一批bug價格，包括名牌衣服、鞋子甚至名表，價格統一為9元，與正常價格差價極大，因此不少人趁機下單。

很快得物官方就發表公告稱，經過公司排查發現，由于后臺系統技術原因，部分商品上線價格顯示異常，與實際價格存在較大差距。在此期間，對于價格錯誤的訂單，平臺將統一進行關閉處理。作為道歉，得物將向受到影響的每位用戶發放特例商品除外的2張50元無門檻優惠券。

雖然9元商品沒“薅”到，但是不少網友也表示算是用一次bug免費換取了大額優惠券，這波不虧。

星巴克券后一杯僅3元

去年4月，星巴克APP因出現bug被網友推上了微博熱搜。有多名網友反映，自己的星巴克App賬戶里忽然多了大量優惠券，包括生日邀請券、周年慶邀請券、金星晉級飲品券等。其中，部分優惠券的有效期截至本周或本月底，而有的券都到了5月份。

對于這一情況，星巴克官方微博回應稱，系統確實出bug了，技術伙伴們正在全力搶修。星巴克客服也表示，的確是系統出現了異常，正在修復。優惠券如果在門店正常核銷，就可以使用。

最終，真的很多用戶薅到了這波羊毛。

當然，也不是所有的“薅羊毛”都能被稱為是“薅羊毛”。

冒充新用戶非法套現20萬

今年2月，山東東城派出所民警在治安清查行動中發現，轄區有一工作室存在詐騙行為。經查自2022年5月至今，趙某、馮某、韓某三人先后在兩小區附近出租房內，大量購買淘寶賬號，利用淘寶天貓超市漏洞，冒充新用戶以“薅羊毛”手段騙領天貓超市紅包，并通過多種手段套現，非法獲利20余萬元。

【圖源：菏澤網警巡查執法官方賬號】

利用肯德基退券漏洞獲利20萬

去年9月，上海有5名大學生因利用肯德基手機客戶端和微信客戶端之間數據不同步的漏洞獲利20多萬元。法院一審認為各被告人通過發起虛假交易，獲取退券退款的行為，是基于兩個客戶端之間數據不同步，使被害單位在錯誤的基礎上進行財產處分，進而造成財產損失，故各被告人的行為符合詐騙罪的構成要件。

【圖源：央視新聞】

冒領新人返現金致使平臺方損失15萬

去年7月，上海市公安局閔行分局接轄區一直播平臺企業報案，稱企業為鼓勵用戶推薦新人而設置的返現獎勵金疑似被人冒領，直接經濟損失15萬元。經梳理，警方在該直播平臺系統內發現了9個用戶，在并未發生邀請行為的情況下，成為了其他196位用戶的“邀請人”，累積領取獎勵金達800余次，其中最多的用戶在45天內領取235次，成了“專職”邀請人。

【圖源：文匯報】

非法注冊新會員兌換免費停車造成商場損失37萬

2021年6月，有車主為了節省停車費，使用一款不法軟件將他人身份信息綁定在自己的車輛上，利用某商場新會員注冊獲贈積分，積分可兌換商場停車場一小時停車時間”的活動規則“薅羊毛”，一年內造成商場損失了近37萬元停車費。最終，部分車主因詐騙罪分別被判處有期徒刑六個月到九個月不等，緩刑一年，處罰金。而軟件開發者因犯幫助信息網絡犯罪活動罪，被判有期徒刑六個月，并處罰金。

"薅羊毛"屬于違法行為嗎？

無可否認，“薅羊毛”的確已經成為了當代消費者的一種普遍行為。在日常的購物過程中，消費者們通過合理的調查研究和耐心的等待，以最低的價格獲得心儀的商品或服務，實現消費的最大化這本身沒什么問題。

但之所以一些人因為“薅羊毛”獲罪，主要在于其超越了“羊毛黨”界線，構成了詐騙，為他人造成嚴重經濟損失。

比如在上述提及的新聞報道中，通過漏洞免費獲取一些優惠券、紅包等都屬于正常的消費者“薅羊毛”行為；而部分“羊毛黨”利用漏洞搞一些“生財門道”，就屬于非法行為了。

比如利用APP客戶端漏洞進行退款操作，免費騙取兌換券，售賣給他人獲利，直接對商家造成經濟損失；再比如利用購物平臺漏洞，免費退換貨賺取退貨賠償金等。

諸如此類行為的非法性和欺騙性非常明顯，并非單純獲取優惠券的“羊毛黨”那么簡單，這些人可不是平常搶個幾塊到幾十塊不等紅包以自娛自樂的普通人，而是大規模靠技術和人工手段，靠鉆漏洞來薅羊毛獲取利潤的大群體。所以這類人因其非法行為獲刑，也就不意外了。

企業被惡意“薅羊毛”，是安全人員的“鍋”嗎？

如果從“被損害利益”的企業層面出發，因消費者非法“薅羊毛”而造成的經濟損失，責任到底該歸咎于誰？究竟是制定“薅羊毛”活動玩法規則的業務人員，還是維護系統安全漏洞的安全人員。這是一個需要認真思考和解決的問題。

首先，作為安全人員，的確有義務提升自身的安全防護水平，及時監測和應對平臺用戶的異常行為。但很多情況下，被“薅羊毛”并不全是因為安全漏洞。

“薅羊毛”活動，往往是一些新入駐的商家想要吸引眼球，老商家想要穩固客源所使用的一種營銷手段，而籌備活動的業務方也難免有時候會在過程中忽略細節，玩法設置不縝密，從而造成一些本想給用戶一點“甜”卻險些被“薅禿”的情況出現。

所以由于漏洞被“薅羊毛”這事的責任歸咎問題，需要分類討論，不要看到【漏洞】二字，就覺得是安全人員的鍋。

業務人員在制定一場活動時，理應建立更加完善的風險評估和應急響應機制。當然，安全人員也務必定期進行安全審計和漏洞修補。只有采取多層次、多措施的安全措施，加強用戶信息的加密和存儲安全，才能有效保護日常業務安全。

同時，消費者也應對自己的行為負責，避免參與任何違法或不道德的活動。

另外，政府和相關監管機構也應該發揮作用，加強對“薅羊毛”行為的監管和打擊。加大對違法行為的處罰力度，提高執法效率，加強合作與信息共享，共同維護市場的正常秩序。

要想完全消除惡意“薅羊毛”行為的發生幾乎是不可能的。但相信只要做到多方共治，必定能有效維護市場秩序和消費者權益。

最后，要給那些惡意的“羊毛黨”一句忠告，“不是所有規則漏洞都可以利用的！”就算是“薅羊毛”也應遵守規則，惡意逾越規則而獲取非法利益，必然面臨著法律責任。