最近国内某知名电商网短短几个小时内被灰色产业,撸了近200亿。到底200亿这个数据是不是真的不这里就不探究了。但是做软件,特别涉及到跟钱有关系的,例如红包、卡券、积分等;如果风控体系没有考虑周全,被撸的只剩内裤的经常有的。今天和大家分享一下我曾经遇到的或者在身边发生过的被撸的经历。
积分被撸
因为没有对领过积分的用户进行唯一设备校验,被***发现,然后***通过虚拟了几十台设备,使用同样的用户循环批量领取积分。导致损失了很多积分,虽然100个积分才可以兑换一块钱的。后来这个还是通过监控系统发现相同的IP地址频繁的调用同样的接口,然后发出警报后才发现的。
短信被撸
目前短信已经成为校验用户身份的主要工具之一。因为项目当时选用的是小众的短信API,对应的公司没有对短信做任何的风控监测;然后我们又是小团队作战,为了快速上线项目,也没有对短信接口做任何的风控检查,例如发短信前没有做验证码输入后才能发、同一个用户5分钟内能发多少次、同一个用户一天内能发多少次等都没有做任何判断;导致后来被***发现,几分钟内就把公司短信费用耗完了,比较幸运的是当时账上没有多少钱。
对账对错,多返客户钱
当时有个项目做直销银行,主要功能就是购买理财产品。程序中涉及三方对账,即我方、银行核心系统和银联。由于程序并发锁没有控制好,导致同时执行了两遍对账,给客户多返了一倍钱。这个bug是致命的,在涉及到真金白银的软件开发一定要把眼睛搽的雪亮雪玲的。
多导了一次红包
项目当时需要做运营活动,需要在后台管理系统里初始化红包数量及红包的大小,当时后台管理系统没有做好,对重复提交没有判断,导致运营人员以为第一次导入红包时没有成功;多点击了一下导入按钮、一下子导入了两次同样的数据,后来运营人员也没有对数据进行查看验证,导致多发了十几万。
最后只说一句涉及与钱有关的软件开发还是要多留一个心眼,一不小心就可能给公司造成不可挽回的损失,并不是简简单单没有年终奖,小公司因为这个为元气大伤。