诺诺镑客遭遇“篡改门” 撤回返利引争议
李晖
就在麦子金服集团紧锣密鼓准备B轮融资的前夕,旗下平台诺诺镑客陷入与“羊毛党”的口水战中。
根据诺诺镑客方面的解释,由于2016年年底的一次返利游戏遭遇羊毛党恶意篡改链接入口,诺诺镑客不得不在2017年年初紧急叫停活动挽回损失。但冻结账户、收回返利等一系列动作还是引发争议。
诺诺镑客在接受《中国经营报》记者采访时透露,平台对通过非正常手段套取优惠的行为坚决打击,但正常用户的投资本金和收益不会受到影响,此前受到影响的投资人也都获得了解决和安抚。目前平台与徽商银行的存管正在对接中。
返利游戏遭篡改
1月6日起,陆续有投资人在各大网贷第三方论坛上发文,称诺诺镑客在其推广活动中擅自变更游戏规则、收回奖励款项、不讲诚信等。
一位爆料人称,元旦期间由于返现力度吸引,参与了诺诺镑客一款名为“跳操”的游戏,与客服电话沟通确定活动投标100元第二天会最多返现20元后进行了投资。投资时账户中已有此前投资回款一万多元。在元旦结束提现发觉并未及时到账后,该人士致电客服,被告知20元是非法获利,账户被暂时冻结。此后,20元被平台收回。
《中国经营报》记者随后联系诺诺镑客方面求证,该公关部门向记者表示:确有此事,但活动停止的原因在于平台遭遇了系统性欺诈。
官方信息证实,诺诺镑客于2016年12月20日上线了“跳操”游戏。该游戏就是看一段广播体操的视频,选择一套广播体操,通过快速记忆后模仿,根据模仿的程度收到不同的现金红包奖励。另据一位名为“小天”的网友撰文透露,第一时间参加,努力做了很久,得了88分,4.75元现金红包奖励,很快就领取了,隔天到账。
诺诺镑客方面告诉记者,2016年12月30日,公司与同盾科技合作的反欺诈系统监测到大量用户存在异常行为,例如出现了同一设备使用了很多个账户进行登录,使用安卓模拟器、作弊工具进行异常登录,多个监测指标立刻发出提醒。根据平台提供的一份12月21日~31日的页面浏览量监测图,记者发现该游戏此前每日平均浏览量在300多,而在12月30日中午骤然飙升至32753,提高100倍以上。
诺诺镑客指出,平台发现正常游戏进入的接口被进行了恶意篡改,“羊毛党直接提交了入口中amount参数值,把修改值计为17和20,无需进行游戏,每秒就可以得到17元或20元奖励。”记者在平台提供的后台系统截图中看到,几乎每秒钟都会有两到三个用户领取到奖金。另一份截图也显示,上述投资用户的投资金额都是100元。
而根据上述参加了活动的投资人“小天”描述,在其参与活动几天后,收到朋友通过诺诺VIP群发的一个链接,上面写着NN体操赛,并被告知可以领取20元现金红包,其点进去后发现跳过了“模仿做操”环节而直接进入输入手机号码的页面,在他输入后,显示该手机已经领取过。
事实上,上述链接在各大论坛、QQ群中被迅速扩散。据诺诺镑客透露,2016年12月30日,共有53668人通过类似链接获取平台现金红包奖励,平台也于当日紧急下线了游戏。“如果对这种恶意行为放任不管,预计平台的损失将达到108万元。”
按照诺诺镑客的措施,是将投资金额101元以下的用户默认为羊毛党而采取了紧急冻结。不过,在阻截羊毛党的同时,对正常投资人的误伤似乎看起来难以避免。
诺诺镑客方面告诉记者,对于参与活动但在平台上的投资金额超过101元的用户,平台默认该等用户为非羊毛党,该等用户可按照平台规则正常投资及提现。而对一些投资金额为100元,但账户中还有较大余额的“正常投资人”,也通过反馈进行了特殊处理。“我们主动外呼了大约250位受到影响的正常用户,并采取了一定补偿。”
“触碰”资金存争议
事实上,平台与羊毛党的“相爱相杀”已经成为网贷行业重要的“发展特色”。
今年6月,北京网贷平台壹文财富就因营销活动羊毛党涌入致使资金结算压力骤升而不得不停止活动,冻结资金。羊毛党利用规则漏洞获利,平台擅自单方面变更游戏规则的做法也在当时引发争议。
而在此次诺诺镑客事件中,事情的性质又发生了改变。根据诺诺镑客提供的信息显示,其游戏入口链接被恶意篡改。北京金诚同达律师事务所律师张烽认为,篡改链接不同于利用规则漏洞,是主动破坏了规则,这就是普通羊毛党和恶意用户之间的区别。如果判定为恶意用户,在取证充分的情况下可以走法律途径。
而对于有用户质疑平台从账户中将返现收回是否合规,张烽认为,20元为奖励性质,不是客户本身资产,网站有权根据其是否符合条件决定是否给予。诺诺镑客在回答记者有关问题时,逻辑也与此相同。
不过需要注意的是,由于这20元是在投资人未授权的情况下从账户“划走”,从流程看,仍存在瑕疵。一位银联下属机构的资深从业者告诉记者,钱既然已经到了用户账户,数字变化了,原则上平台无权在不经过投资人同意的情况下撤回。除非是因为还没有到账就撤回了。如果确认到账,再撤回,理论上是需要经过投资人同意。
一位要求匿名的互联网金融领域律师也同意上述看法,她认为,这种情况其实可以认为是平台“触碰”了用户的资金。
盈灿咨询高级分析师张叶霞告诉记者,这其实属于无授权的直接操作。因为诺诺镑客目前资金存管仍在技术对接中,还没上线。一旦存管上线后,此次事件中的撤回奖金则不可能实现,必须需要投资人这边确认后才能操作。
据诺诺镑客透露,该平台此前已经与徽商银行签订存管协议,目前在进行技术对接。一直以来,平台是通过与快钱、连连、盛付通等支付公司合作,投资人的资金通过第三方支付机构账号发给借款人,投资人资金和平台自有资金从银行账号上进行隔离,保障投资人资金安全。不过从上述逻辑来看,这种隔离并无太大实质意义。
而此次事件在一定程度上也暴露了目前一批金融科技类公司亟待强化的“科技”能力。在江西某网贷平台一位负责人看来,如果公开链接入口能够轻易被篡改,其技术部门是否也要做出反省并拿出新的防范措施?
事实上,自2013年P2P网贷崛起后,黑客的造访也逐年频繁。统计数据显示,2014年,超过160家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改,甚至资金被洗劫一空等。2016年5月,有黑客在入侵某平台后发帖称“网站数据结构过于简单”,同时曝光了该平台近300人的姓名、身份证号、银行卡等隐私信息进行公然“挑衅”。
前述银联下属机构从业者透露,其接触过很多“很牛”的金融科技公司,其IT都较为薄弱。“其实也不难理解,国内优秀的IT人才基本都被几大互联网公司吸纳,缺口很大。”
据诺诺镑客透露,目前通过加强外部技术合作管理和技术安全评估流程等方式进行防范。并通过提升活动门槛来完善规则,如起投金额升至1000甚至10000元。此外,也在加强对实时活动数据的监控。